«Лаборатория Касперского» фиксирует всплеск атак троянца Efimer

Летом 2025 года «Лаборатория Касперского» фиксирует всплеск атак с использованием троянца Efimer. Зловред распространяется через взломанные WordPress-сайты, вредоносные торренты и электронную почту. Его основное назначение — кража и подмена криптокошельков, но при помощи дополнительных скриптов он может подбирать пароли к сайтам WordPress и собирать базы электронных адресов для дальнейшей рассылки вредоносных писем. Эксперты компании обращают внимание, что попытки таких атак замечены в нескольких странах, в том числе в России.

Отличительная черта кампании в том, что авторы Efimer атакуют как частных, так и корпоративных пользователей. В первом случае злоумышленники используют в качестве приманки торрент-файлы якобы с популярными фильмами, во втором — фишинговые письма, которые выдаются за претензии о неправомерном заимствовании слов или фраз, зарегистрированных другой компанией. Первые версии этого троянца появились предположительно в октябре 2024 года. Тогда он распространялся через взломанные WordPress-сайты. Эту схему злоумышленники используют до сих пор, однако летом этого года они начали также рассылать троянец по электронной почте.

Как происходит атака на частных пользователей. Злоумышленники ищут плохо защищенные WordPress-сайты, подбирают к ним пароль, публикуют на таких ресурсах сообщение с предложением скачать один из недавно вышедших фильмов и дают ссылку на запароленный архив с торрент-файлом. Вредоносный файл маскируется под проигрыватель. 

Как происходит атака на сотрудников компаний. В июне 2025 года эксперты «Лаборатории Касперского» обнаружили, что теперь троянец распространяется также и по корпоративным почтовым адресам. Жертвой может стать как небольшой, так и крупный бизнес. В фишинговых письмах говорится, что юристы некой корпорации проверили домен, принадлежащий получателю, и заметили, что в его названии есть слова или фразы, якобы уже зарегистрированные этой организацией. По их словам, они не будут подавать в суд, если получатель письма сменит название домена, и даже готовы выкупить его. Сам домен в письме не называется. Детали (в чем именно нарушение и что предлагают за выкуп) якобы можно узнать, если открыть вложение. К письму прикреплен запароленный архив, но на самом деле в нем находится вредоносный файл. Если его запустить, компьютер будет заражен, а пользователь увидит только уведомление об ошибке.

Продукты «Лаборатории Касперского» детектируют это вредоносное ПО как HEUR:Trojan-Dropper.Script.Efimer, HEUR:Trojan-Banker.Script.Efimer, HEUR:Trojan.Script.Efimer, HEUR:Trojan-Spy.Script.Efimer и защищают пользователей от него.  

«Для защиты от подобного рода угроз мы призываем не скачивать торрент-файлы из незнакомых или сомнительных источников, не открывать вложения в подозрительных письмах, особенно от неизвестных отправителей, а также установить на все устройства надежное защитное решение, эффективность технологий которого подтверждается независимыми тестами. Для разработчиков и администраторов сайтов важно принимать меры по обеспечению безопасности своих ресурсов от взлома и распространения вредоносного ПО. Они включают в себя регулярное обновление программного обеспечения, использование сильных паролей и двухфакторной аутентификации, а также мониторинг сайта на наличие признаков взлома», — комментирует Владимир Гурский, исследователь угроз в «Лаборатории Касперского».