پژوهشگران امنیتی، اخیراً کمپین مخرب بسیار متمرکزی را کشف کردند که دهها سازمان پرتغالی را بهویژه در بخشهای دولتی، مالی و حملونقل را هدف قرار داده بود. این کمپین به عوامل تهدید مرتبط با بدافزار سارق اطلاعات Lampion، منتسب شده است.
بنابر گزارش محققان Unit 42، بدافزار سارق اطلاعات Lampion که بر روی اطلاعات حساس بانکی تمرکز دارد، حداقل از سال 2019 فعال است. آنها در توسعه نرمافزار خود از تلههای ClickFix نیز استفاده کردهاند. تکنیک مهندسی اجتماعی ClickFix که از اواخر سال 2024 توسط چندین خانواده بدافزار مانند Lumma Stealer و NetSupport RAT به کار گرفته شد، در حالی که خود را به عنوان ابزاری برای رفع باگهای کامپیوتری نشان میدهد، قربانیان را به کپی و اجرای دستورات مخرب بر روی دستگاه خود ترغیب میکند. این تکنیک قربانی را وادار به اجرای یک دستور مخرب میکند که دستگاه او را آلوده سازد. اجرای دستور مخرب پاورشل توسط قربانی، یک فایل Visual Basic Script (VBS) مبهم را دانلود و اجرا میکند که بخشی از این کمپین است. کمپین مذکور از نظر اهداف و زیرساختها، و همچنین تاکتیکها، تکنیکها و رویهها (TTPs)، از بسیاری از الگوهای مشابه فعالیتهای پیشین بدافزار Lampion پیروی میکند. این الگوها شامل چندین VBS بسیار مبهم به عنوان بخشی از زنجیره حمله و شباهتها در زمینههای ابتدایی مهندسی اجتماعی بود.
https://unit42.paloaltonetworks.com/lampion-malware-clickfix-lures/
