Кіберзлочинці активізували нову масштабну кампанію з використанням трояна Efimer, яка стартувала у жовтні 2024 року та продовжує еволюціонувати. Цей шкідливий код становить серйозну загрозу для власників криптовалютних активів, демонструючи адаптивні можливості та багатовекторний підхід до атак.
Тактика розповсюдження та технічна еволюція
Троян Efimer використовує комплексну стратегію інфікування систем через декілька каналів одночасно. Початково зловмисники фокусувалися виключно на компрометації вразливих WordPress-ресурсів, але до червня 2025 року арсенал розширився email-розсилками та торрент-мережами.
Кіберзлочинці проводять автоматизоване сканування WordPress-платформ з недостатнім рівнем захисту, застосовуючи brute-force атаки для злому облікових записів. На скомпрометованих сайтах розміщуються фальшиві пропозиції завантаження популярного відеоконтенту, що містять посилання на заражені архіви з виконуваним файлом xmpeg_player.exe, замаскованим під медіапрогравач.
Атаки на корпоративний сегмент через психологічний вплив
Особливу тривогу викликає інноваційна методика атак на бізнес-структури, зафіксована у червні 2025 року. Зловмисники застосовують складні схеми соціальної інженерії, надсилаючи фішингові повідомлення під виглядом юридичних претензій.
У таких листах стверджується, що доменне ім’я адресата порушує права інтелектуальної власності або містить захищені торговельні марки третіх осіб. Атакуючі створюють штучне відчуття терміновості, погрожуючи судовими позовами, але пропонують “компромісне” вирішення через зміну домену або його викуп за завищеними цінами.
Архітектура та функціональні можливості шкідливого ПЗ
Після успішного проникнення в систему Efimer активує скрипт controller.js – троян категорії ClipBanker, що спеціалізується на перехопленні даних буфера обміну. Основні цілі включають:
• Підміну адрес криптовалютних гаманців на контрольовані зловмисниками
• Витягування seed-фраз для відновлення доступу до цифрових активів
• Завантаження та виконання додаткового шкідливого коду з командних серверів
Для забезпечення анонімності комунікацій троян автоматично інсталює Tor-браузер, використовуючи кілька резервних джерел завантаження для обходу блокувань. Додаткові модулі, що поширюються через .onion-домени, розширюють функціонал малварі, включаючи збір email-адрес та атаки на WordPress-екосистему.
Географічний розподіл та статистика загроз
Аналітичні дані за період з жовтня 2024 по липень 2025 року демонструють вражаючий масштаб кампанії. Понад 5000 користувачів зазнали атак Efimer, при цьому географічне поширення підтверджує глобальний характер загрози.
Найбільш постраждалим регіоном стала Бразилія з 1476 підтвердженими випадками зараження. Значна кількість інцидентів також зареєстрована в Індії, Іспанії, Росії, Італії та Німеччині, що свідчить про цілеспрямовану діяльність кіберзлочинців у різних часових поясах та мовних сегментах.
Комплексні стратегії захисту від Efimer
Ефективний захист від трояна Efimer вимагає багаторівневого підходу до кібербезпеки. Критично важливо уникати завантаження торрент-файлів з неперевірених джерел та ретельно верифікувати автентичність електронних листів, особливо тих, що містять юридичні погрози або термінові вимоги.
Власникам WordPress-ресурсів необхідно використовувати надійні паролі, регулярно оновлювати CMS та плагіни, впроваджувати багатофакторну автентифікацію. Корпоративним користувачам рекомендується проведення систематичних тренінгів з виявлення фішингових атак серед персоналу.
Розвиток загрози Efimer демонструє зростаючу складність кіберзлочинів та здатність атакуючих пристосовуватися до мінливого ландшафту цифрової безпеки. Постійне оновлення антивірусних баз, критичне ставлення до підозрілих повідомлень та дотримання базових принципів цифрової гігієни залишаються фундаментальними елементами захисту від подібних загроз у сучасному кіберпросторі.
