# AN1643 — Analytic 1643 ## Descrição Esta analítica detecta acesso a bancos de dados de gerenciadores de senhas em macOS (1Password `.opvault`, caches do LastPass, KeePass `.kdbx`) fora dos processos pai esperados, e identifica tentativas de scraping de memória via chamadas de API suspeitas ou ferramentas que se anexam a processos de gerenciamento de senhas. A telemetria inclui Unified Logs e `endpointsecurity` monitorando acessos a diretórios de cofres conhecidos por processos inesperados, alertas do sistema de sandbox macOS para violações de entitlements e eventos de ptrace/task_for_pid em processos de gerenciadores de senhas. Esta detecção é crítica porque macOS é amplamente utilizado em ambientes corporativos e de desenvolvimento, onde gerenciadores de senhas armazenam credenciais de alto valor como chaves de acesso cloud e certificados. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] --- *Fonte: [MITRE ATT&CK — AN1643](https://attack.mitre.org/detectionstrategies/DET0597#AN1643)*