# AN1322 — Analytic 1322 ## Descrição Detecta alterações não autorizadas em páginas de login hospedadas localmente no macOS (comuns em ambientes VPN de desenvolvedores) e vincula edições de arquivos a cron jobs, scripts em background ou binários SUID. A telemetria inclui unified logs do macOS para modificações em diretórios de servidores web locais, eventos de cron job e launchd, alertas sobre binários SUID e correlação com atividades suspeitas de scripting pós-modificação. Esta detecção é relevante em ambientes de desenvolvimento macOS onde desenvolvedores executam servidores web locais ou VPN clients com interfaces web, criando superfície de ataque para adulteração de páginas de autenticação por malware com persistência via cron ou launchd. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1053-003-cron|T1053.003 — Cron]] - [[t1548-setuid-and-setgid|T1548 — Abuse Elevation Control Mechanism]] - [[t1505-003-web-shell|T1505.003 — Web Shell]] --- *Fonte: [MITRE ATT&CK — AN1322](https://attack.mitre.org/detectionstrategies/DET0480#AN1322)*