# AN1033 — Analytic 1033 ## Descrição Este analítico detecta o uso de dupla extensão de arquivo no Windows como técnica de mascaramento, identificando arquivos com aparência benigna em sua primeira extensão (ex: `.txt`, `.jpg`) mas terminando em extensão executável perigosa (ex: `.exe`, `.scr`, `.bat`), seguido de execução do arquivo pelo usuário ou pelo sistema. A telemetria utilizada inclui eventos de criação de arquivos (Sysmon EID 11) com análise do nome completo do arquivo, eventos de execução de processo (EID 4688) para arquivos com dupla extensão e eventos de abertura de arquivo em contexto de explorador de arquivos ou cliente de e-mail. Esta detecção é relevante porque a técnica de dupla extensão é um engodo clássico em campanhas de phishing, onde `fatura.pdf.exe` é exibido como `fatura.pdf` pela ocultação de extensões conhecidas no Windows Explorer, levando usuários a executar malware inadvertidamente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1033](https://attack.mitre.org/detectionstrategies/DET0366#AN1033)*