Троян Efimer крадет криптовалюту, взламывает сайты WordPress через торренты и фишинг

«Лаборатория Касперского» сообщает о заражении тысяч людей трояном Efimer, подмене криптовалютных кошельков, брутфорсе сайтов и распространении через торренты и фишинг.

Киберпреступники становятся всё более изобретательными в своих мошеннических схемах, и последний пример — вредоносная операция Efimer. Троян, впервые обнаруженный «Лабораторией Касперского» в октябре 2024 года и продолжавший активно распространяться в 2025 году, похищал криптовалюту, распространяясь через взломанные сайты WordPress, торренты и целевые фишинговые письма .

Фишинговые письма в последней кампании якобы отправляются юристами крупной компании, предупреждая получателей о том, что их доменное имя нарушает права на товарные знаки. В сообщении содержится угроза судебного иска, но вместо этого предлагается выкупить домен.

Затем жертвам предлагается открыть вложение с «подробностями», которое на самом деле содержит многоэтапный скрипт. Этот скрипт внедряет троян Efimer и маскирует свою активность поддельными сообщениями об ошибках, чтобы пользователи думали, что ничего не произошло.

После запуска Efimer ведёт себя как троян ClipBanker . Он отслеживает адреса криптовалютных кошельков в буфере обмена и заменяет их адресами злоумышленника. Он также использует мнемонические фразы для восстановления кошельков, сохраняя их в файлы перед отправкой на скрытый командный сервер в сети Tor.

Если запущен диспетчер задач, вредоносная программа отключается, чтобы избежать обнаружения. Она даже устанавливает сам Tor, если его ещё нет на компьютере, загружая его с нескольких жёстко прописанных URL-адресов, чтобы затруднить блокировку.

Анализ, проведенный «Лабораторией Касперского», показывает, что у Efimer есть дополнительные скрипты, которые позволяют осуществлять перебор паролей для входа в WordPress, автоматически генерируя целевые домены из списков слов Wikipedia, а затем проверяя на них большие партии паролей.

Взломав учётные данные, злоумышленники могут публиковать вредоносные файлы или заманивать пользователей поддельными торрентами с фильмами. Одна из таких приманок — защищённый паролем торрент, который якобы содержит фильм в формате XMPEG , но на самом деле устанавливает другую версию Efimer с поддельными кошельками для Tron и Solana.

Другой скрипт, получивший прозвище «Liame», фокусируется на сборе адресов электронной почты с определённых веб-сайтов. Он может извлекать адреса из HTML-кода и ссылок mailto, а затем отправлять их злоумышленникам.

Эта же инфраструктура позволяет также отправлять спам-подобные данные на целевые домены. Благодаря своей универсальности Efimer может служить как инструментом прямого хищения, так и частью более крупной спам- или фишинговой системы.

С октября 2024 года по июль 2025 года продукты «Лаборатории Касперского» зафиксировали более 5000 пользователей, пострадавших от Efimer. Наибольшая активность наблюдалась в Бразилии, за которой следуют Индия, Испания, Россия, Италия и Германия. Злоумышленники, очевидно, нацелены как на частных лиц, используя торренты и фишинг, так и на компании, взламывая корпоративные веб-сайты.

Чтобы защитить свою систему от трояна Efimer, не открывайте подозрительные вложения, не скачивайте торренты с незнакомых сайтов и регулярно обновляйте антивирусное ПО. Владельцам веб-сайтов крайне важны надёжные пароли, двухфакторная аутентификация и регулярные обновления программного обеспечения, чтобы предотвратить установку вредоносного ПО злоумышленниками на их сервера.