Efimer-Trojaner stiehlt Krypto und hackt WordPress-Sites über Torrents und Phishing

Kaspersky meldet, dass der Trojaner Efimer Tausende infiziert, Krypto-Wallets austauscht, Websites mit Brute-Force-Angriffen angreift und sich über Torrents und Phishing verbreitet.
Cyberkriminelle werden bei ihren Betrügereien immer kreativer. Das jüngste Beispiel stammt von einer Malware-Operation namens Efimer. Der Trojaner, der erstmals im Oktober 2024 von Kaspersky entdeckt wurde und auch 2025 noch aktiv und verbreitet ist, stiehlt Kryptowährung und verbreitet sich über gehackte WordPress-Sites, Torrents und gezielte Phishing-E-Mails .
Die Phishing-Mails der jüngsten Kampagne geben vor, von Anwälten eines großen Unternehmens zu stammen. Sie warnen die Empfänger, dass ihr Domainname gegen Markenrechte verstößt. In der Nachricht wird mit rechtlichen Schritten gedroht, stattdessen wird angeboten, die Domain zu kaufen.
Die Opfer werden dann aufgefordert, einen Anhang zu öffnen, um „Details“ zu erhalten. Dieser enthält jedoch ein mehrstufiges Skript. Dieses Skript lädt den Efimer-Trojaner und verschleiert seine Aktivität mit gefälschten Fehlermeldungen, sodass die Benutzer denken, es sei nichts passiert.
Sobald Efimer ausgeführt wird, verhält es sich wie ein ClipBanker-Trojaner . Er überwacht die Zwischenablage auf Adressen von Kryptowährungs-Wallets und ersetzt diese durch die des Angreifers. Er zielt auch auf mnemonische Phrasen ab, die zum Wiederherstellen von Wallets verwendet werden. Er speichert diese in Dateien und schleust sie anschließend auf einen im Tor-Netzwerk versteckten Kommandoserver aus.
Wenn der Task-Manager läuft, wird die Malware heruntergefahren, um eine Erkennung zu vermeiden. Sie installiert sogar Tor selbst, falls es nicht bereits auf dem Computer vorhanden ist. Dazu lädt sie es von mehreren fest codierten URLs herunter, um das Blockieren zu erschweren.
Die Analyse von Kaspersky zeigt, dass Efimer über zusätzliche Skripte verfügt, die WordPress-Anmeldungen mit Brute-Force-Methoden knacken können, indem sie automatisch Zieldomänen aus Wikipedia-Wortlisten generieren und dann große Mengen von Passwörtern mit ihnen testen.
Sind die Anmeldedaten geknackt, können Angreifer schädliche Dateien posten oder Nutzer mit gefälschten Film-Torrents ködern. Ein solcher Köder ist ein passwortgeschützter Torrent, der scheinbar einen Film im XMPEG
Format enthält, in Wirklichkeit aber eine andere Efimer-Variante installiert, komplett mit gefälschten Wallets für Tron und Solana.
Ein weiteres Skript mit dem Spitznamen „Liame“ sammelt E-Mail-Adressen von bestimmten Websites. Es kann Adressen aus HTML- und Mailto-Links extrahieren und sie dann an die Angreifer zurücksenden.
Dieselbe Infrastruktur kann auch Spam-ähnliche Nutzdaten an Zieldomänen senden. Dank dieser Vielseitigkeit kann Efimer sowohl als direktes Diebstahltool als auch als Teil eines größeren Spam- oder Phishing-Systems eingesetzt werden.
Von Oktober 2024 bis Juli 2025 entdeckten Kaspersky-Produkte über 5.000 von Efimer betroffene Benutzer. Die höchste Aktivität verzeichnete Brasilien, gefolgt von Indien, Spanien, Russland, Italien und Deutschland. Die Angreifer zielen sowohl auf Privatpersonen (durch Torrents und Phishing) als auch auf Unternehmen ab, indem sie Unternehmenswebsites kompromittieren.
Um Ihr System vor dem Efimer-Trojaner zu schützen, öffnen Sie keine verdächtigen Anhänge, laden Sie keine Torrents von beliebigen Websites herunter und halten Sie Ihre Antivirensoftware auf dem neuesten Stand. Für Website-Betreiber sind sichere Passwörter, Zwei-Faktor-Authentifizierung und regelmäßige Software-Updates unerlässlich, um zu verhindern, dass Angreifer Malware auf ihren Servern installieren.
HackRead