# AN0673 — Analytic 0673 ## Descrição Monitora comandos de segurança e chamadas de API que interagem com o Keychain do macOS, além de tentativas de acesso a arquivos de certificados e chaves privadas armazenados em `~/Library/Keychains` ou `/Library/Keychains`. A telemetria inclui o Unified Log do macOS (subsistema Security), FSEvents e logs de auditoria que identificam acesso programático ao Keychain por processos que não possuem autorização explícita do usuário. Essa analítica é crítica pois o Keychain centraliza credenciais de alto valor no macOS; sua exploração por meio de APIs como `SecKeychainItemCopyContent` é uma técnica utilizada por spyware comercial e APTs para extrair senhas e certificados de forma silenciosa. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1649-steal-or-forge-authentication-certificates|T1649 — Steal or Forge Authentication Certificates]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0673](https://attack.mitre.org/detectionstrategies/DET0240#AN0673)*