# T1036.007 - Double File Extension
## Técnica Pai
[[t1036-masquerading|T1036 - Masquerading]]
## Descrição
Double File Extension (Extensão de Arquivo Dupla) é uma sub-técnica de [[t1036-masquerading|Masquerading]] na qual adversários nomeiam arquivos maliciosos com duas extensões consecutivas - como `documento.pdf.exe` - para enganar usuários e sistemas de segurança quanto ao tipo real do arquivo.
O comportamento explorado é uma configuração padrão do Windows Explorer: por default, o sistema operacional **oculta as extensões de arquivo conhecidas**. Assim, `documento.pdf.exe` é exibido para o usuário como `documento.pdf`, com o ícone de um PDF. O usuário vê o que parece ser um documento legítimo e o executa - ativando na verdade um binário malicioso.
A técnica é simples, não requer exploração de vulnerabilidade técnica e depende exclusivamente de **engenharia social combinada com configuração padrão insegura do Windows**. Por essa razão, é amplamente utilizada por grupos de todos os níveis de sofisticação, desde script kiddies até APTs de nível estatal como [[g0094-kimsuky|Kimsuky]] e [[g0129-mustang-panda|Mustang Panda]].
### Variantes comuns
| Extensão falsa (primeira) | Extensão real (segunda) | Tipo de ameaça |
|--------------------------|------------------------|----------------|
| `.pdf` | `.exe` | Downloader, RAT, ransomware |
| `.docx` | `.exe` | Loader, stager |
| `.jpg` | `.exe` | Malware genérico |
| `.txt` | `.exe` | Payload simples |
| `.pdf` | `.lnk` | Shortcut com comando malicioso |
| `.docx` | `.scr` | Screensaver executável - bypassa alguns filtros |
| `.xlsx` | `.hta` | HTA malicioso com VBScript |
| `.png` | `.com` | Executável COM-format |
## Como Funciona
1. **Criação do payload**: o adversário renomeia ou cria um executável malicioso com dupla extensão - ex.: `Proposta_Comercial.pdf.exe`.
2. **Ícone enganoso**: para tornar o engano mais convincente, o adversário pode alterar o ícone do executável para o ícone padrão do Adobe Reader, Microsoft Word ou outro aplicativo associado à extensão falsa. Ferramentas como `Resource Hacker` são usadas para isso.
3. **Entrega**: o arquivo é enviado por [[t1566-001-spearphishing-attachment|phishing com anexo]], compartilhado via link de download, ou dropado em disco após comprometimento inicial como isca para executar próximo estágio.
4. **Visão da vítima**: com a configuração padrão do Windows, o Explorer exibe apenas `Proposta_Comercial.pdf` com o ícone do Adobe Reader. Não há indicação visual de que se trata de um executável.
5. **Execução**: a vítima clica duas vezes - o Windows executa o binário com a extensão real (`.exe`, `.scr`, `.com`, `.lnk`), não o aplicativo associado à extensão falsa.
6. **Pós-exploração**: dependendo do payload, a execução pode estabelecer [[ta0003-persistence|persistência]], iniciar comunicação C2, dropar módulos adicionais ou iniciar cifragem de arquivos (ransomware).
## Attack Flow
```mermaid
graph TB
A[Adversário cria executável malicioso] --> B[Renomeia com extensão dupla ex: fatura.pdf.exe]
B --> C[Altera ícone para PDF ou Word ícone enganoso]
C --> D[Entrega via phishing ou download]
D --> E[Vítima recebe arquivo aparentemente inofensivo]
E --> F[Windows oculta segunda extensão por padrão]
F --> G[Vítima vê fatura.pdf com ícone de PDF]
G --> H[Vítima clica duas vezes no arquivo]
H --> I[Windows executa o binário real .exe/.scr/.lnk]
I --> J{Tipo de payload}
J --> K[Downloader busca stage 2 de C2]
J --> L[RAT estabelece acesso remoto]
J --> M[Ransomware inicia cifragem]
J --> N[Dropper instala malware persistente]
K --> O[Comprometimento estabelecido]
L --> O
M --> O
N --> O
```
## Exemplos de Uso
### Kimsuky - campanhas de espionagem contra governo e defesa
O grupo [[g0094-kimsuky|Kimsuky]] (APT43 / Velvet Chollima), vinculado à inteligência norte-coreana, usa Double File Extension de forma recorrente em campanhas de spearphishing contra funcionários governamentais, pesquisadores de segurança e entidades ligadas a política de defesa na Coreia do Sul, Jápão e Estados Unidos. Arquivos comuns: `relatório_reunião.hwp.exe` (HWP é o formato de documentos sul-coreano) e `proposta_de_cooperação.pdf.exe`.
### Mustang Panda - campanhas na Ásia e em países em desenvolvimento
[[g0129-mustang-panda|Mustang Panda]] (Bronze President / TA416), grupo APT vinculado à China, utiliza a técnica em campanhas de espionagem contra governos e ONGs. A combinação de `.docx.exe` com ícone do Word e um documento PDF legítimo aberto como distração (para convencer a vítima de que nada aconteceu de errado) é a assinatura característica do grupo.
### DarkGaté e outros loaders comerciais
O malware [[darkgaté|DarkGaté]], um loader-as-a-service amplamente disponível em fóruns criminosos, é frequentemente distribuído com essa técnica em campanhas de alto volume. Operadores de [[darkgaté|DarkGaté]] são observados usando `.pdf.exe`, `.xlsx.exe` e variantes `.scr` em campanhas de phishing em massa.
### Ransomware - estágio inicial
Grupos de ransomware como operadores de **LockBit** e **Black Basta** utilizam a técnica no estágio de acesso inicial, antes de escalar para movimentação lateral e cifragem. O payload inicial é um stager ou dropper que estabelece comunicação com o C2 e baixa os módulos subsequentes.
## Detecção
```yaml
title: Arquivo com Extensão Dupla Criado ou Executado
status: stable
logsource:
category: process_creation
product: windows
detection:
selection_double_ext:
Image|contains:
- '.pdf.exe'
- '.doc.exe'
- '.docx.exe'
- '.xlsx.exe'
- '.jpg.exe'
- '.png.exe'
- '.txt.exe'
- '.pdf.scr'
- '.docx.scr'
- '.pdf.lnk'
- '.pdf.hta'
condition: selection_double_ext
level: high
tags:
- attack.defense_evasion
- attack.t1036.007
```
```yaml
title: Processo Criado a partir de Arquivo com Extensão Dupla em Temp ou Downloads
status: experimental
logsource:
category: process_creation
product: windows
detection:
selection_location:
CurrentDirectory|contains:
- '\Downloads\'
- '\Temp\'
- '\Desktop\'
- '\AppData\Local\Temp\'
selection_name_pattern:
Image|re: '.*\.[a-z]{2,4}\.(exe|scr|com|pif|bat|cmd|hta|lnk|vbs|js)