# DET0292 — Masquerading via Space After Filename - Behavioral Detection Strategy ## Descrição Esta estratégia detecta uma técnica de evasão onde adversários adicionam espaços após o nome de um arquivo para mascarar sua extensão real em sistemas operacionais que truncam a exibição. Em macOS e Linux, um arquivo chamado `documento.pdf ` (com espaço ao final) pode ser exibido sem a extensão real do executável que o segue no nome completo, induzindo usuários a executar binários maliciosos acreditando serem documentos inofensivos. A detecção foca em arquivos executáveis cujos nomes contêm espaços antes da extensão real (`.app `, `.sh `) ou que possuem extensões duplas com espaços intercalados. No macOS, aplicações `.app` com espaços no nome são particularmente eficazes para enganar usuários, pois o Finder pode exibir apenas a parte antes do espaço. A análise de metadados de arquivo e verificação de magic bytes vs. extensão declarada é o mecanismo de detecção central. Esta técnica é frequentemente combinada com ícones que imitam documentos legítimos (PDF, Word, Excel) para aumentar a efetividade do engano. A detecção requer análise do nome de arquivo no momento da escrita/criação, não apenas na execução, para capturar o estágio de entrega do payload. ## Indicadores de Detecção - Arquivo criado com espaços ao final do nome antes da extensão real (`arquivo.pdf .exe`, `documento .app`) - Magic bytes do arquivo inconsistentes com extensão declarada após normalização do nome - Arquivo executável com ícone de documento (PDF, Office) e espaço no nome sendo aberto por usuário - Criação de arquivo em `~/Downloads` ou `~/Desktop` com nome contendo caracteres Únicode invisíveis ou espaços múltiplos - Bundle `.app` no macOS com nome terminando em espaço e binário não assinado no interior - Script shell com extensão `.sh ` (com espaço) sendo executado via terminal após download ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] ## Analytics Relacionadas - [[an0812-analytic-0812|AN0812 — Analytic 0812]] - [[an0813-analytic-0813|AN0813 — Analytic 0813]] --- *Fonte: [MITRE ATT&CK — DET0292](https://attack.mitre.org/detectionstrategies/DET0292)*