# AN1461 — Analytic 1461 ## Descrição Detecta a execução de arquivos contendo o caractere Únicode de sobreposição da direita para a esquerda (U+202E, RTLO) para disfarçar a extensão real de arquivos maliciosos. A telemetria inclui logs de criação de processos com análise de nomes de arquivos para caracteres Únicode especiais (Sysmon EventID 1, 11) e monitoramento de downloads via browser. Esta analítica é crítica para detectar payloads de phishing que se disfarçam como documentos inócuos — por exemplo, um executável nomeado `documento‮fdp.exe` que aparece ao usuário como `documentoexe.pdf`. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1461](https://attack.mitre.org/detectionstrategies/DET0527#AN1461)*