Атакам подвергаются пользователи и в России
Летом 2025 года «Лаборатория Касперского» фиксирует всплеск атак с использованием троянца Efimer. Зловред распространяется через взломанные WordPress-сайты, вредоносные торренты и электронную почту. Его основное назначение — кража и подмена криптокошельков, но при помощи дополнительных скриптов он может подбирать пароли к сайтам WordPress и собирать базы электронных адресов для дальнейшей рассылки вредоносных писем. Эксперты компании обращают внимание, что попытки таких атак замечены в нескольких странах, в том числе в России.
Отличительная черта кампании в том, что авторы Efimer атакуют как частных, так и корпоративных пользователей. В первом случае злоумышленники используют в качестве приманки торрент-файлы якобы с популярными фильмами, во втором — фишинговые письма, которые выдаются за претензии о неправомерном заимствовании слов или фраз, зарегистрированных другой компанией. Первые версии этого троянца появились предположительно в октябре 2024 года. Тогда он распространялся через взломанные WordPress-сайты. Эту схему злоумышленники используют до сих пор, однако летом этого года они начали также рассылать троянец по электронной почте.
Как происходит атака на частных пользователей. Злоумышленники ищут плохо защищённые WordPress-сайты, подбирают к ним пароль, публикуют на таких ресурсах сообщение с предложением скачать один из недавно вышедших фильмов и дают ссылку на запароленный архив с торрент-файлом. Вредоносный файл маскируется под проигрыватель.
Как происходит атака на сотрудников компаний. В июне 2025 года эксперты «Лаборатории Касперского» обнаружили, что теперь троянец распространяется также и по корпоративным почтовым адресам. Жертвой может стать как небольшой, так и крупный бизнес. В фишинговых письмах говорится, что юристы некой корпорации проверили домен, принадлежащий получателю, и заметили, что в его названии есть слова или фразы, якобы уже зарегистрированные этой организацией. По их словам, они не будут подавать в суд, если получатель письма сменит название домена, и даже готовы выкупить его. Сам домен в письме не называется. Детали (в чём именно нарушение и что предлагают за выкуп) якобы можно узнать, если открыть вложение. К письму прикреплён запароленный архив, но на самом деле в нём находится вредоносный файл. Если его запустить, компьютер будет заражён, а пользователь увидит только уведомление об ошибке.
Продукты «Лаборатории Касперского» детектируют это вредоносное ПО как HEUR:Trojan-Dropper.Script.Efimer, HEUR:Trojan-Banker.Script.Efimer, HEUR:Trojan.Script.Efimer, HEUR:Trojan-Spy.Script.Efimer и защищают пользователей от него.
«Для защиты от подобного рода угроз мы призываем не скачивать торрент-файлы из незнакомых или сомнительных источников, не открывать вложения в подозрительных письмах, особенно от неизвестных отправителей, а также установить на все устройства надёжное защитное решение, эффективность технологий которого подтверждается независимыми тестами. Для разработчиков и администраторов сайтов важно принимать меры по обеспечению безопасности своих ресурсов от взлома и распространения вредоносного ПО. Они включают в себя регулярное обновление программного обеспечения, использование сильных паролей и двухфакторной аутентификации, а также мониторинг сайта на наличие признаков взлома», — комментирует Владимир Гурский, исследователь угроз в «Лаборатории Касперского».
Более подробная информация о киберугрозе представлена в отчёте «Efimer: кража криптовалюты, взлом WordPress и массовая рассылка спама».
