محققان امنیتی از شرکت فرانتپوینت از ظهور باجافزار جدیدی هشدار دادند که سازمانها در حوزهی بهداشت و درمان را هدف قرار داده است. این بدافزار با نام فیلادلفیا نسخهای از بدافزار Stampado است که سال گذشته ظاهر شد و جزو یکی از ارزان قیمتترین باجافزارهایی بود که در اختیار مهاجمان سایبری قرار داشت و به قیمت تنها ۳۹ دلار به فروش میرسید. ماه گذشته تبلیغ باجافزار فیلادلفیا در یوتیوب مورد بررسی قرار گرفته بود.
باجافزار فیلادلفیا از طریق رایانامههای فیشینگ توزیع میشود که این رایانامهها حاوی یک آدرس URL کوتاهشده هستند و در حال حاضر از این بدافزار برای آلوده کردن یک بیمارستان در اورگان و در جنوب غربی واشنگتن استفاده شده است. این پیوند، قربانی را به سمت یک وبگاه شخصی هدایت میکند که بر روی آن یک پروندهی docx مخرب میزبانی شده و برای اینکه قانونی جلوه کند، از نماد بیمارستانِ هدف نیز استفاده شده است.
این پرونده حاوی آیکون مربوط به ۳ سند بوده که گفته میشود اطلاعات بیمار است و قربانی ترغیب میشود تا بر روی آنها کلیک کند. وقتی کاربر بر روی این آیکونها کلیک کرد، یک پروندهی جاوا اسکریپت مخرب اجرا شده و باجافزار فیلادلفیا را بارگیری و نصب میکند. پس از نصب، بدافزار با کارگزار دستور و کنترل خود ارتباط برقرار میکند. بدافزار اطلاعات مختلفی را از سامانهی قربانی مانند نوع سامانه عامل، نام کاربری، کشور و زبان دستگاه به کارگزار دستور و کنترل ارسال میکند و ادامه نیز کارگزار یک شناسهی منحصربفرد برای قربانی، شناسهی کیف پول بیتکوین و مقدار باج را برای سامانهی قربانی ارسال میکند.
در ادامه باجافزار با استفاده از الگوریتم AES با طول کلید ۲۵۶ بیت، به رمزنگاری پروندههای قربانی میپردازد. پس از تکمیل فرآیند رمزنگاری، باجافزاری پیغامی را به کاربر نمایش داده و اطلاع میدهد که پروندههای او رمزنگاری شده و برای بازیابی آنها باید ۰.۳ بیتکوین به آدرس مشخصی ارسال کنند. محققان امنیتی میگویند این مهاجمان با استفاده از رایانامههای فیشینگ بیمارستانها را هدف قرار دادهاند و حملات از هفتهی سوم ماه مارس آغاز شده است.
منبع: securityweek.com
