# AN1112 — Analytic 1112 ## Descrição Este analítico detecta acesso suspeito a arquivos e APIs do Keychain do macOS, observando processos que invocam o utilitário `security` ou acessam bancos de dados do Keychain diretamente, correlacionando com linhagem de processo anômala ou contexto de usuário inesperado. Monitora tentativas de dump, desbloqueio ou leitura de armazenamento de credenciais além dos fluxos normais de aplicação. Utiliza telemetria do Endpoint Security Framework (ESF) e análise de acesso a arquivos para identificar extração não autorizada de credenciais. A detecção é crítica porque o Keychain do macOS armazena senhas, tokens OAuth e chaves privadas, sendo um alvo prioritário de ladrões de credenciais e spyware avançado. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1112](https://attack.mitre.org/detectionstrategies/DET0396#AN1112)*