記者甘偉中／台北報導

對於電腦稍有經驗的用戶，收到檔案時都會留意副檔名，藉以判別是否為惡意程式。不過光看副檔名可能不夠了，最好還是注意一下檔案類型，以及副檔名從右往左看是否也是正常。因為駭客可能利用由右往左書寫的格式，來偽裝惡意檔案。

趨勢科技近日發現一個專門針對台灣政府機關的鎖定目標攻擊行動，名為「PLEAD」。犯罪份子使用魚叉式網路釣魚電子郵件，內含以「強制從右至左書寫」（Right to Left Override, RTLO）的技巧來偽裝附件，誘騙收件人開啟並下載惡意附件檔案，進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。

所謂魚叉式網路釣魚（Spear phishing），意指針對特定目標的網路釣魚攻擊；而RTLO是指從右至左的書寫格式，是為了支援某些國家的語言而設計的，卻被歹徒藉以利用，偽裝惡意程式的副檔名。

趨勢科技提供了一個實際案例。歹徒寄了一份假冒某技術研討會參考資料的電子郵件給某部會員工。當附件檔案解壓縮之後，會看到二個檔案：一個是PowerPoint檔案和一個Word檔案。

PowerPoint檔案乍看具有副檔名ppt，但仔細一看，副檔名之前還有三個英文字，全部為rcs.ppt。

這就是使用了RTLO技巧，事實上這個檔案的副檔名應該是scr，是一個螢幕保護程式。

為了提高電子郵件的可信度，歹徒又多放了一個正常的Word檔來轉移注意力。不僅如此，這個經過偽裝的「.scr」螢幕保護程式執行時，還會產生一個PowerPoint檔案，讓受害者以為開啟的確實是個簡報檔，因此更不容易起疑。

這項攻擊行動會在受害者的電腦上植入一個後門程式，然後解開自己的程式碼，並把自己注入其他執行中的處理程序。

植入電腦之後，後門程式會開始蒐集受害對象電腦上的資訊，如使用者名稱、電腦名稱、主機名稱以及當前惡意程式處理程序代碼，讓歹徒可以追蹤個別受害對象。

當後門程式成功連上遠端伺服器之後，就會執行以下動作來進行一般偵查程序： • 檢查電腦上安裝的軟體或Proxy設定 • 列出所有磁碟機 • 取得檔案 • 刪除檔案 • 執行遠端指令

根據趨勢科技2014年第一季資安報告指出，有76%的鎖定目標攻擊都是針對政府部門，而電子郵件是歹徒滲透目標網路最常見的手法，再加上此波發現的攻擊都是鎖定台灣政府機構，建議相關單位要特別提高警覺。