Trojan Efimer kradnie kryptowaluty i włamuje się do witryn WordPress za pośrednictwem torrentów i phishingu

Firma Kaspersky informuje, że trojan Efimer infekuje tysiące użytkowników, podmienia portfele kryptowalutowe, przeprowadza ataki siłowe na witryny i rozprzestrzenia się za pośrednictwem torrentów i phishingu.

Cyberprzestępcy stają się coraz bardziej kreatywni w swoich oszustwach, a najnowszym przykładem jest operacja złośliwego oprogramowania o nazwie Efimer. Trojan, wykryty po raz pierwszy przez firmę Kaspersky w październiku 2024 roku i wciąż aktywny, rozprzestrzenia się w 2025 roku. Kradnie kryptowalutę, rozprzestrzeniając się za pośrednictwem zhakowanych stron WordPress, torrentów i ukierunkowanych wiadomości phishingowych .

E-maile phishingowe z najnowszej kampanii podszywają się pod prawników dużej firmy, ostrzegając odbiorców, że ich nazwa domeny narusza prawa do znaków towarowych. Wiadomość grozi podjęciem kroków prawnych, ale zamiast tego oferuje odkupienie domeny.

Ofiary są następnie proszone o otwarcie załącznika w celu uzyskania „szczegółów”, który w rzeczywistości zawiera wieloetapowy skrypt. Skrypt ten instaluje trojana Efimer i maskuje jego aktywność fałszywymi komunikatami o błędach, aby użytkownicy myśleli, że nic się nie stało.

Po uruchomieniu Efimer zachowuje się jak trojan ClipBanker . Monitoruje schowek w poszukiwaniu adresów portfeli kryptowalutowych i zastępuje je adresami atakującego. Wykorzystuje również frazy mnemotechniczne używane do odzyskiwania portfeli, zapisując je w plikach, a następnie przesyłając na serwer poleceń ukryty w sieci Tor.

Jeśli Menedżer zadań jest uruchomiony, złośliwe oprogramowanie wyłącza się, aby uniknąć wykrycia. Instaluje nawet samego Tora, jeśli nie jest on jeszcze zainstalowany na komputerze, pobierając go z wielu zakodowanych na stałe adresów URL, aby utrudnić blokowanie.

Analiza firmy Kaspersky ujawnia, że Efimer ma dodatkowe skrypty, które potrafią siłowo złamać hasła do WordPressa, automatycznie generując domeny docelowe z list słów z Wikipedii, a następnie testując pod ich kątem duże partie haseł.

Po złamaniu danych uwierzytelniających atakujący mogą publikować złośliwe pliki lub zwabiać użytkowników fałszywymi torrentami filmowymi. Jednym z takich wabików jest zabezpieczony hasłem torrent, który pozornie zawiera film w formacie XMPEG , ale w rzeczywistości instaluje inną wersję Efimera, wraz z fałszywymi portfelami dla filmów Tron i Solana.

Inny skrypt, o nazwie „Liame”, koncentruje się na gromadzeniu adresów e-mail z określonych stron internetowych. Potrafi on pozyskiwać adresy z linków HTML i mailto, a następnie odsyłać je atakującym.

Ta sama infrastruktura może również wysyłać ładunki o charakterze spamu do docelowych domen. Ta wszechstronność oznacza, że Efimer może służyć zarówno jako narzędzie do bezpośredniej kradzieży, jak i element większego systemu spamu lub phishingu.

Od października 2024 do lipca 2025 roku produkty firmy Kaspersky wykryły ponad 5000 użytkowników zaatakowanych przez Efimer, przy czym największą aktywność odnotowano w Brazylii, a następnie w Indiach, Hiszpanii, Rosji, Włoszech i Niemczech. Atakujący ewidentnie atakują zarówno osoby prywatne, za pośrednictwem torrentów i phishingu, jak i firmy, włamując się na strony internetowe firm.

Aby chronić system przed trojanem Efimer, nie otwieraj podejrzanych załączników, nie pobieraj torrentów z losowych stron i aktualizuj oprogramowanie antywirusowe. Dla właścicieli stron internetowych silne hasła, uwierzytelnianie dwuskładnikowe i regularne aktualizacje oprogramowania są kluczowe, aby uniemożliwić atakującym zainstalowanie złośliwego oprogramowania na ich serwerach.