# AN1462 — Analytic 1462 ## Descrição Detecta a execução de arquivos com extensões revertidas usando o caractere Únicode RTLO em macOS, técnica frequentemente usada para enganar o Gatekeeper e usuários em phishing via Safari ou Mail. A telemetria inclui Unified Logs, eventos do Endpoint Security Framework e análise de metadados de arquivos baixados para identificar caracteres de controle Únicode no nome do arquivo. Esta analítica é relevante porque o macOS, por padrão, exibe o nome de arquivo conforme renderizado pelo Únicode — o que pode ocultar a verdadeira extensão executável e levar usuários a executar malware disfarçado de documentos legítimos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN1462](https://attack.mitre.org/detectionstrategies/DET0527#AN1462)*