# AN0689 — Analytic 0689 ## Descrição Detecta processos que acessam APIs de input protegidas pelo TCC ou fazem polling de serviços HID sem interação do usuário, ou frameworks de keylogging carregados dinâmicamente usando privilégios de acessibilidade no macOS. A telemetria inclui o Unified Log do macOS (subsistema TCC), logs de auditoria de permissões de acessibilidade e FSEvents que identificam processos que obtêm acesso a eventos de input do sistema sem aprovação explícita do usuário via TCC. Essa analítica é crítica pois o sistema TCC do macOS é a principal proteção contra keyloggers; sua contorção por meio de escalada de privilégios de acessibilidade é usada por spyware comercial como Pegasus e FinFisher para capturar entradas sensíveis de usuários de alto perfil. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] --- *Fonte: [MITRE ATT&CK — AN0689](https://attack.mitre.org/detectionstrategies/DET0246#AN0689)*