# AN1463 — Analytic 1463 ## Descrição Detecta a execução de scripts baixados ou criados pelo usuário com extensões ocultas devido à inserção do caractere RTLO no nome do arquivo, frequentemente presente em ambientes desktop Linux ou campanhas de phishing. A telemetria inclui auditd (syscall `execve`), eventos de criação de arquivos e análise de nomes de arquivos para identificar caracteres Únicode de controle de direção. Esta analítica é importante pois usuários Linux em ambientes gráficos (GNOME, KDE) podem ser enganados por arquivos maliciosos que se apresentam com extensões legítimas graças à manipulação de caracteres Únicode bidirecionais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1463](https://attack.mitre.org/detectionstrategies/DET0527#AN1463)*