# AN0858 — Analytic 0858 ## Descrição Esta analítica detecta o uso de grep via Terminal ou abertura de arquivos plist/config contendo credenciais, correlacionado com tentativas de acesso ao Keychain ou logins no sistema. A telemetria utilizada inclui o EndpointSecurity Framework e Unified Log para monitorar acesso a arquivos de configuração sensíveis e tentativas subsequentes de autenticação no Keychain ou em serviços locais. Esta detecção é relevante para identificar stealers de macOS que coletam credenciais de configurações de aplicativos antes de enviá-las ao C2, uma técnica documentada em campanhas de infostealer como Atomic Stealer que têm crescido contra usuários brasileiros de criptomoedas e finanças. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1552-001-credentials-in-files|T1552.001 — Credentials In Files]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0858](https://attack.mitre.org/detectionstrategies/DET0307#AN0858)*