# AN1338 — Analytic 1338 ## Descrição Detecta múltiplas tentativas de login falhas em diferentes usuários usando padrões comuns de senha (como `Welcome2023`) em sistemas macOS, indicando uma campanha de password spraying. A telemetria inclui logs de autenticação unificados do macOS (`/var/log/system.log`), eventos de autenticação via OpenDirectory/DirectoryService e alertas sobre padrões de falha de autenticação distribuídos por conta com mesma origem. Esta detecção é relevante em ambientes corporativos com dispositivos macOS integrados ao Active Directory ou LDAP, onde ataques de password spraying podem comprometer contas de funcionários sem acionar políticas de bloqueio de conta convencional, especialmente durante eventos como troca de senhas corporativas ou novos onboardings. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1110-003-password-spraying|T1110.003 — Password Spraying]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1133-external-remote-services|T1133 — External Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1338](https://attack.mitre.org/detectionstrategies/DET0487#AN1338)*