El troyano Efimer roba criptomonedas y ataca sitios de WordPress mediante torrents y phishing.

Kaspersky informa que el troyano Efimer está infectando a miles de personas, intercambiando billeteras de criptomonedas, atacando sitios por fuerza bruta y propagándose a través de torrents y phishing.

Los ciberdelincuentes se están volviendo más creativos con sus estafas, y el ejemplo más reciente proviene de una operación de malware conocida como Efimer. Detectado por primera vez por Kaspersky en octubre de 2024 y aún activo y propagándose en 2025, el troyano ha estado robando criptomonedas, propagándose a través de sitios web de WordPress pirateados, torrents y correos electrónicos de phishing dirigidos.

Los correos electrónicos de phishing de la campaña más reciente simulan provenir de abogados de una gran empresa y advierten a los destinatarios que su nombre de dominio infringe marcas registradas. El mensaje amenaza con acciones legales, pero ofrece comprar el dominio.

Se les pide a las víctimas que abran un archivo adjunto para obtener "detalles", que en realidad contiene un script de varias etapas. Este script instala el troyano Efimer y oculta su actividad con mensajes de error falsos, para que los usuarios crean que no ha ocurrido nada.

Una vez en ejecución, Efimer se comporta como un troyano ClipBanker . Monitorea el portapapeles en busca de direcciones de monederos de criptomonedas y las reemplaza con las del atacante. También se centra en las frases mnemotécnicas utilizadas para recuperar monederos, guardándolas en archivos antes de exfiltrarlas a un servidor de comandos oculto en la red Tor.

Si el Administrador de Tareas está en ejecución, el malware se cierra para evitar ser detectado. Incluso instala Tor si aún no está instalado en el equipo, descargándolo desde múltiples URL codificadas para dificultar su bloqueo.

El análisis de Kaspersky muestra que Efimer tiene scripts adicionales que pueden forzar los inicios de sesión de WordPress generando automáticamente dominios de destino a partir de listas de palabras de Wikipedia y luego probando grandes lotes de contraseñas contra ellos.

Cuando se piratean las credenciales, los atacantes pueden publicar archivos maliciosos o atraer a los usuarios con torrents de películas falsos. Uno de estos señuelos consiste en un torrent protegido con contraseña que parece contener una película en formato XMPEG , pero que en realidad instala otra variante de Efimer, con monederos falsos para Tron y Solana.

Otro script, apodado "Liame", se centra en recopilar direcciones de correo electrónico de sitios web específicos. Puede extraer direcciones de HTML y enlaces de correo electrónico y luego enviarlas a los atacantes.

La misma infraestructura también puede enviar cargas útiles similares a spam a dominios específicos. Esta versatilidad permite que Efimer sirva tanto como herramienta de robo directo como parte de un sistema más amplio de spam o phishing.

Entre octubre de 2024 y julio de 2025, los productos de Kaspersky detectaron más de 5000 usuarios afectados por Efimer, con la mayor actividad en Brasil, seguido de India, España, Rusia, Italia y Alemania. Los atacantes atacan claramente tanto a particulares, mediante torrents y phishing, como a empresas, comprometiendo sitios web corporativos.

Para proteger su sistema del troyano Efimer, no abra archivos adjuntos sospechosos, no descargue torrents de sitios web aleatorios y mantenga actualizado su software antivirus. Para los propietarios de sitios web, las contraseñas seguras, la autenticación de dos factores y las actualizaciones de software periódicas son fundamentales para evitar que los atacantes instalen malware en sus servidores.