det0527-right-to-left-override-masquerading-detection-via-filename-and-execution

# DET0527 — Right-to-Left Override Masquerading Detection via Filename and Execution Context ## Descrição O ataque de Right-to-Left Override (RTLO) abusa do caractere Únicode U+202E para inverter a exibição do nome de arquivo em interfaces gráficas, criando mascaramento ([[t1036-masquerading|T1036 — Masquerading]]) que faz um executável malicioso parecer um arquivo inofensivo. Por exemplo, `file_gpj.exe` com RTLO inserido antes de `gpj.exe` é exibido como `file_exe.jpg` no Windows Explorer — aparenta ser uma imagem JPEG mas é um executável. Essa técnica é amplamente utilizada em phishing e campanhas de malware distribuídas por e-mail e mensageiros, sendo particularmente eficaz contra usuários que confiam na extensão visual do arquivo. A detecção requer análise de nomes de arquivos em nível de bytes para identificar a presença do caractere RTLO (U+202E) ou outros caracteres de controle bidirecional (U+200F, U+200E, U+202A-U+202E, U+2066-U+2069). Ferramentas de segurança de endpoint devem inspecionar strings de nome de arquivo em logs de criação de processo (Sysmon Event ID 1) e acesso a arquivo, procurando bytes `0xE2 0x80 0xAE` (representação UTF-8 de U+202E). A correlação com o contexto de execução — arquivo recebido via e-mail ou download de navegador — eleva significativamente a prioridade do alerta. Nos sistemas Windows, o RTLO também pode ser usado em nomes de extensões de registro de shell, criando entradas que parecem legítimas mas apontam para handlers maliciosos. A verificação da extensão real (baseada em bytes, não exibição) de arquivos executados por usuários não-técnicos é um controle fundamental. Campanhas contra organizações brasileiras frequentemente utilizam RTLO em documentos Office falsos (`ofdcx.docx` vira aparente `.docx` mas é `.exe`). ## Indicadores de Detecção - Presença do byte sequence `E2 80 AE` (UTF-8 do U+202E RTLO) no nome de arquivo de processo criado - Nome de arquivo contendo caracteres de controle bidirecional Únicode (U+202A-U+202E, U+2066-U+2069) - Arquivo com extensão exibida diferente da extensão real verificada por magic bytes (ex: exibido como `.pdf` mas bytes iniciais são `MZ`) - Execução de arquivo em `%TEMP%` ou `Downloads\` com discrepância entre extensão visual e tipo real - Sysmon Event ID 1 com `Image` contendo caracteres Únicode não-ASCII incomuns em nome de arquivo - Alerta de e-mail gateway ou sandbox para attachment com nome contendo RTLO ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] — técnica principal coberta por esta estratégia - [[t1036-001-invalid-code-signature|T1036.001 — Invalid Code Signature]] — mascaramento adicional via assinatura inválida - [[t1566-phishing|T1566 — Phishing]] — vetor de entrega frequente de arquivos com RTLO - [[t1204-user-execution|T1204 — User Execution]] — execução pelo usuário enganado pelo nome falso - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] — ofuscação do arquivo malicioso ## Analytics Relacionadas - [[an1461-analytic-1461|AN1461 — Analytic 1461]] - [[an1462-analytic-1462|AN1462 — Analytic 1462]] - [[an1463-analytic-1463|AN1463 — Analytic 1463]] --- *Fonte: [MITRE ATT&CK — DET0527](https://attack.mitre.org/detectionstrategies/DET0527)*