Новая кампания Epsilon Red использует ActiveX для скрытых атак
Источник: www.cloudsek.com
Обнаружен новый сайт доставки вредоносных программ, связанный с программой-вымогателем Epsilon Red
Компания CloudSEK TRIAD выявила развивающуюся киберкампанию, в центре которой находится сайт доставки вредоносного ПО, тематически связанный с «Clickfix» и программой-вымогателем Epsilon Red. Новая атака отличается от предыдущих стратегических приемов тем, что жертвам предлагается перейти на дополнительную страницу, где с помощью ActiveX выполняются вредоносные команды оболочки.
Механизм атаки и особенности эксплуатации
Злоумышленники используют уязвимость ActiveXObject, позволяющую удаленное выполнение кода непосредственно в браузере, что значительно облегчает скрытую загрузку и активацию вредоносных файлов с контролируемого злоумышленниками IP-адреса. Это позволяет обходить обычные механизмы защиты от нежелательной загрузки и повышает риск масштабного заражения.
Кроме технических особенностей, в кампании активно применяются методы социальной инженерии, среди которых:
- введение в заблуждение с помощью ложных кодов подтверждения;
- использование страниц-приманок на романтическую тематику;
- создание видимости дилетантства через незначительные типографские ошибки, например, в слове «Подтверждение».
Эти приемы направлены на снижение подозрительности пользователей и формирование доверия за счет кажущегося безобидным интерфейса.
Инфраструктура и маскировка злоумышленников
Анализ инфраструктуры, стоящей за вредоносной активностью, показал, что операторы кампании маскируются под различные сервисы, включая:
- боты для проверки капчи Discord;
- популярные потоковые платформы — Kick, Twitch, OnlyFans.
Такой подход усиливает эффективность атак, позволяя злоумышленникам захватывать доверие потенциальных жертв посредством узнаваемых брендов, что отвечает общей стратегии привлечения пользователей familiar и надежными на первый взгляд сервисами.
О программе-вымогателе Epsilon Red
Epsilon Red впервые был зафиксирован в 2021 году. Его уведомления о выкупе напоминают по стилю известную группу вымогателей REvil, однако технически и инфраструктурно эти угрозы существенно отличаются.
Главная опасность для пользователей и организаций состоит в том, что внедрение Epsilon Red может привести к комплексному шифрованию данных, часто через горизонтальное перемещение по скомпрометированным сетям, что значительно ухудшает последствия заражения.
Основные выводы
- Уязвимость ActiveXObject используется для обхода защиты браузеров и выполнения вредоносного кода.
- Злоумышленники активно применяют социальную инженерию, включая обман и маскировку под популярные сервисы.
- Постоянное повторное использование тематических страниц указывает на стратегический и долгосрочный характер кампании.
Обнаруженная кампания является наглядным примером современных методов доставки вредоносного ПО, сочетающих технические уязвимости и психологические приемы. Комплексный подход к анализу и своевременное реагирование — ключевые меры, которые могут помочь защититься от подобного рода угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
