Исследователи кибербезопасности выявили масштабную вредоносную кампанию с использованием трояна Efimer, которая активно развивается с октября 2024 года. Данная угроза представляет серьезную опасность как для частных пользователей, так и для корпоративного сектора, демонстрируя высокий уровень адаптивности злоумышленников к различным методам распространения.
Механизм распространения и эволюция угрозы
Троян Efimer использует многовекторный подход к распространению, что значительно увеличивает его эффективность. Изначально малварь распространялась исключительно через компрометированные WordPress-сайты, однако к июню 2025 года киберпреступники расширили свой арсенал, добавив email-рассылки и торрент-файлы.
Атакующие систематически сканируют WordPress-сайты с недостаточным уровнем защиты, используя методы брутфорса для подбора паролей. После успешного взлома на ресурсах размещаются поддельные предложения о скачивании популярных фильмов, содержащие ссылки на зараженные архивы с замаскированным под медиаплеер файлом xmpeg_player.exe.
Корпоративные атаки через социальную инженерию
Особую озабоченность вызывает новая тактика атак на корпоративный сектор, выявленная в июне 2025 года. Злоумышленники используют изощренные схемы социальной инженерии, отправляя фишинговые письма, замаскированные под юридические претензии.
В таких письмах утверждается, что доменное имя получателя содержит зарегистрированные торговые марки или фразы другой компании. Киберпреступники создают ложное чувство срочности, угрожая судебными разбирательствами, но одновременно предлагают «мирное» решение через смену домена или его выкуп.
Техническая архитектура и функциональность
После заражения системы Efimer развертывает скрипт controller.js — троян типа ClipBanker, специализирующийся на мониторинге буфера обмена. Основными целями являются:
• Подмена адресов криптокошельков на контролируемые злоумышленниками
• Поиск и кража seed-фраз для восстановления кошельков
• Выполнение дополнительного вредоносного кода с управляющих серверов
Для обеспечения анонимности коммуникаций троян автоматически устанавливает Tor-клиент, используя несколько резервных источников загрузки для обхода блокировок. Дополнительные модули, распространяемые через .onion-домены, расширяют функциональность малвари, включая сбор email-адресов и атаки на WordPress-платформы.
География и масштаб угрозы
Статистические данные за период с октября 2024 по июль 2025 года показывают впечатляющий масштаб кампании. Более 5000 пользователей столкнулись с атаками Efimer, при этом географическое распределение демонстрирует глобальный характер угрозы.
Наиболее пострадавшим регионом стала Бразилия с 1476 зафиксированными случаями заражения. Значительное количество инцидентов также отмечено в Индии, Испании, России, Италии и Германии, что указывает на целенаправленную работу злоумышленников в различных временных зонах и языковых сегментах.
Стратегии защиты и рекомендации
Эффективная защита от Efimer требует комплексного подхода к кибербезопасности. Критически важно избегать загрузки торрент-файлов из неверифицированных источников и тщательно проверять подлинность электронных писем, особенно содержащих юридические угрозы или срочные требования.
Для владельцев WordPress-сайтов первостепенное значение имеет использование надежных паролей, регулярное обновление CMS и плагинов, а также внедрение дополнительных уровней аутентификации. Корпоративным пользователям рекомендуется проведение регулярных тренингов по выявлению фишинговых атак среди сотрудников.
Развитие угрозы Efimer демонстрирует растущую изощренность киберпреступников и их способность адаптироваться к изменяющемуся ландшафту кибербезопасности. Постоянное обновление антивирусных баз, критическое отношение к подозрительным сообщениям и соблюдение базовых принципов цифровой гигиены остаются ключевыми элементами защиты от подобных угроз.
