در موج جدیدی از حملات باجافزاری که در ژوئیه ۲۰۲۵ شناسایی شده، مهاجمان از فایلهای HTML اجرایی با پسوند .HTA استفاده میکنند تا بهصورت مخفیانه باجافزار Epsilon Red را روی سیستم قربانی نصب کنند.
🎯 نحوه فریب کاربران
حمله با یک صفحه تأیید هویت جعلی تحت عنوان “ClickFix” آغاز میشود که ظاهری معتبر و مشابه سرویسهای محبوب مانند Discord، Twitch، Kick و OnlyFans دارد.
کاربران برای «اثبات هویت» خود باید روی دکمهای کلیک کنند که آنها را به صفحهای دیگر هدایت میکند. در این صفحه، ActiveX Control – فناوری قدیمی اما هنوز فعال در ویندوز – استفاده میشود تا کدهای دلخواه از طریق مرورگر Internet Explorer اجرا شوند.
🔐 نتایج حمله
پس از اجرای موفق:
-
باجافزار Epsilon Red شروع به رمزگذاری فایلها میکند
-
از ویژگیهای باقیمانده از ActiveX و Windows Script Host (WSH) استفاده میکند تا بدون شناسایی توسط آنتیویروسها یا فیلترهای SmartScreen اجرا شود
-
دسترسی کامل در سطح کاربر فعال، ایجاد persistence از طریق
schtasks، و آغاز کشف شبکه (network discovery) انجام میشود -
یادداشت باجگیری شباهتهایی به فرمت REvil دارد اما با تفاوتهای جزئی دستوری
-
🌐 زیرساختهای مرتبط
تحقیقات شرکت CloudSEK دامنهها و IPهای مرتبط با این کمپین را شناسایی کرده:
-
دامنهها:
twtich[.]cc,capchabot[.]cc -
IPها:
-
۱۵۵.۹۴.۱۵۵.۲۲۷:۲۲۶۹ -
۲۱۳.۲۰۹.۱۵۰.۱۸۸:۸۱۱۲
-
این آدرسها بهعنوان زیرساختهای متعلق به خوشهای از مهاجمان سایبری در سطح جهانی شناسایی شدهاند.
-
-
🛡️ توصیههای امنیتی فوری
-
غیرفعالسازی ActiveX و Windows Script Host
-
استفاده از مرورگرهای مدرن و محدودسازی اجرای اسکریپتهای غیراستاندارد
-
بلکلیست کردن دامنهها و IPهای شناساییشده
-
تقویت سیاستهای امنیت شبکه و اجرای تمرینهای ضد فیشینگ برای کارکنان
-
یک نظر