Опасный зловред распространяется под видом популярных фильмов и юридических претензий

Летом 2025 года аналитики “Лаборатории Касперского” зафиксировали резкий рост активности троянской программы Efimer. Распространение вредоносного ПО происходит через взломанные сайты на платформе WordPress, зараженные торрент-файлы и посредством рассылки электронных писем со зловредным содержанием. Основная задача троянца – хищение и подмена данных криптокошельков, однако, используя дополнительные скрипты, он также способен взламывать пароли к сайтам WordPress и формировать базы данных электронных адресов для дальнейшей рассылки спама. Эксперты компании подчеркивают, что подобные атаки были зафиксированы в ряде стран, включая Россию.

Отличительной чертой данной кампании является нацеленность Efimer как на частных лиц, так и на корпоративных пользователей. В первом случае злоумышленники используют в качестве приманки торренты, замаскированные под популярные кинофильмы, во втором – фишинговые письма, имитирующие претензии о нарушении авторских прав на слова или фразы, зарегистрированные другой компанией. Первые проявления этого троянца были зарегистрированы, предположительно, в октябре 2024 года, когда он распространялся через взломанные ресурсы WordPress. Этот метод злоумышленники используют до сих пор, но с лета текущего года они также начали распространять троян по электронной почте.

Схема атаки на частных пользователей выглядит следующим образом: киберпреступники ищут сайты WordPress с недостаточной защитой, взламывают их, размещают сообщения с предложением скачать последние киноновинки и предоставляют ссылку на запароленный архив с торрент-файлом, который маскируется под видеоплеер.

Атака на сотрудников компаний происходит следующим образом: в июне 2025 года специалисты “Лаборатории Касперского” обнаружили распространение троянца через корпоративную почту. В фишинговых письмах утверждается, что юристы некоей корпорации обнаружили в домене получателя незаконное использование зарегистрированных слов или фраз. Взамен судебного иска предлагается смена названия домена или его выкуп. Детали, якобы, находятся во вложении – запароленном архиве, содержащем вредоносный файл.

Продукты “Лаборатории Касперского” успешно обнаруживают и блокируют данное вредоносное ПО, определяя его как HEUR:Trojan-Dropper.Script.Efimer, HEUR:Trojan-Banker.Script.Efimer, HEUR:Trojan.Script.Efimer, HEUR:Trojan-Spy.Script.Efimer.

Владимир Гурский, исследователь угроз в “Лаборатории Касперского”, рекомендует: избегать скачивания торрентов из непроверенных источников, не открывать подозрительные вложения в письмах, особенно от незнакомцев, и использовать надежные защитные решения. Разработчикам и администраторам сайтов следует регулярно обновлять ПО, использовать сложные пароли и двухфакторную аутентификацию, а также отслеживать признаки взлома.