# AN0650 — Analytic 0650 ## Descrição Detecta processos não assinados que acessam a memória do sistema ou lançam ferramentas conhecidas de raspagem de credenciais — como `osascript`, injeções de dylib — para acessar o Keychain ou regiões de memória sensíveis no macOS. A telemetria inclui o Unified Log do macOS, registros do endpointd e eventos de carregamento de biblioteca que capturam acesso não autorizado ao Keychain Security framework e chamadas TCC suspeitas. Essa analítica é crítica pois o Keychain armazena senhas, tokens e certificados do usuário; seu comprometimento pode fornecer ao adversário acesso persistente a múltiplos serviços e credenciais de alto valor. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0650](https://attack.mitre.org/detectionstrategies/DET0234#AN0650)*