آلية متعددة المراحل لتنصيب البرمجيات الخبيثة
تعتمد العملية الهجومية على تنفيذ متسلسل لثلاثة نصوص برمجية مختلفة مكتوبة بلغة VBScript، تبدأ بعد تفعيل تقنية ClickFix الخادعة. تقوم هذه النصوص البرمجية بشكل تدريجي بتهيئة البيئة المناسبة لتنصيب المكون الرئيسي للبرنامج الخبيث، وهو مكتبة DLL مسؤولة عن سرقة البيانات. وأضاف الباحثون في شركة “بت سايت” أن المجموعة طورت مؤخراً قدرات استمرارية جديدة في المرحلة الأولى من الهجوم، مما يزيد من خطورة التهديد.
تطورات متلاحقة في استراتيجية الهجوم
شهدت الحملة ثلاث موجات رئيسية من التطوير منذ سبتمبر 2024، حيث بدأت باستخدام مرفقات ZIP بدلاً من الروابط الخارجية، ثم أدخلت تقنيات ClickFix في ديسمبر 202حصان، وأخيراً أضافت قدرات الاستمرارية في يونيو 2025. يظهر هذا التدرج التطوري التكيف السريع للمجموعة مع إجراءات الحماية وتطورها المستمر في تجاوز الأنظمة الدفاعية.
استهداف مستمر للمؤسسات المالية والعملاء
يعتبر برنامج “لامبيون” لسرقة البيانات تهديداً مزمناً نشطاً منذ عام 2019 على الأقل، ويركز بشكل رئيسي على سرقة البيانات المالية والحساسة. تستخدم المجموعة أساليب هندسة اجتماعية متطورة لخداع الضحايا وجعلهم ينفذون الإجراءات المطلوبة طواعية، مما يزيد من فعالية الهجمات ويجعل اكتشافها أكثر صعوبة.
