يتم استخدام برنامج ضار جديد قائم على Lua، يسمى LucidRook، في حملات التصيد الاحتيالي التي تستهدف المنظمات غير الحكومية والجامعات في تايوان. يعزو باحثو Cisco Talos البرامج الضارة إلى مجموعة تهديدات يتم تتبعها داخليًا باسم UAT-10362.
تفاصيل الهجمات
وقد لوحظت هجمات LucidRook في أكتوبر 2025 والتي اعتمدت على رسائل البريد الإلكتروني التصيدية التي تحمل أرشيفات محمية بكلمة مرور. حدد الباحثون سلسلتين للعدوى، إحداهما تستخدم ملف اختصار LNK الذي قدم في النهاية برنامجًا ضارًا يسمى LucidPawn.
- سلسلة الهجوم المعتمدة على LNK تستخدم وثائق خادعة لصرف انتباه المستخدم.
- سلسلة قائمة على EXE استفادت من برنامج مكافحة فيروسات مزيف قابل للتنفيذ ينتحل صفة Trend Micro Worry-Free Business Security Services.
خصائص البرمجيات الخبيثة
تتميز شركة LucidRook بتصميمها المعياري وبيئة تنفيذ Lua المضمنة، والتي تسمح لها باسترداد وتنفيذ حمولات المرحلة الثانية مثل كود Lua الثانوي. يمكّن هذا النهج المشغلين من تحديث الوظائف دون تعديل البرامج الضارة الأساسية.