det0366-detection-strategy-for-double-file-extension-masquerading

# DET0366 — Detection Strategy for Double File Extension Masquerading ## Descrição A técnica de mascaramento por extensão dupla explora o comportamento padrão do Windows Explorer de ocultar extensões de arquivo conhecidas, levando usuários a executar arquivos maliciosos acreditando tratar-se de documentos benignos. Um arquivo nomeado `fatura_dezembro.pdf.exe` aparece para o usuário como `fatura_dezembro.pdf`, com o ícone associado ao tipo PDF. Essa técnica é amplamente empregada em campanhas de phishing direcionadas, especialmente em contextos financeiros e corporativos no Brasil e LATAM, onde documentos fiscais e faturas são pretextos comuns para [[engenharia social]]. Além da extensão dupla simples, variações incluem o uso de caracteres Únicode Right-to-Left Override (RTLO/RLO) para inverter a ordem de exibição do nome do arquivo (`invoice_gpj.exe` exibido como `invoice_exe.jpG`), espaços antes da extensão real, e extensões de arquivo pertencentes a tipos não associados a aplicações instaladas. Campanhas atribuídas a grupos como [[g0032-lazarus-group|Lazarus Group]] e operadores de [[RAT]] regionais frequentemente distribuem payloads via esses métodos em anexos de email. A detecção requer análise de nomes de arquivo no momento da criação, download ou execução, verificando discrepâncias entre a extensão nominal e o magic byte/header do arquivo, identificando extensões duplas e caracteres de controle Únicode em nomes de arquivo. ## Indicadores de Detecção - Arquivo com padrão `*.{ext_documento}.{ext_executável}` criado em disco (ex: `.pdf.exe`, `.docx.bat`) - Presença de caractere Únicode U+202E (Right-to-Left Override) no nome do arquivo - Arquivo com ícone associado a tipo de documento mas magic bytes de PE/executável - Download de arquivo com Content-Type inconsistente com extensão do nome do arquivo - Execução de arquivo precedida de criação em pasta Downloads/Temp com extensão dupla - Tentativa de execução de arquivo cujá extensão real está oculta pela configuração do sistema ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[T1036007-double-file-extension|T1036.007 — Double File Extension]] - [[T1566001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[T1204002-malicious-file|T1204.002 — Malicious File]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an1033-analytic-1033|AN1033 — Analytic 1033]] --- *Fonte: [MITRE ATT&CK — DET0366](https://attack.mitre.org/detectionstrategies/DET0366)*