Le cheval de Troie Efimer vole des cryptomonnaies et pirate des sites WordPress via des torrents et du phishing

Kaspersky rapporte que le cheval de Troie Efimer a infecté des milliers de personnes, échangé des portefeuilles de crypto-monnaies, forcé des sites et s'est propagé via des torrents et du phishing.

Les cybercriminels redoublent de créativité dans leurs escroqueries, et le dernier exemple en date est celui d'un malware appelé Efimer. Repéré pour la première fois par Kaspersky en octobre 2024 et toujours actif et en pleine expansion en 2025, ce cheval de Troie vole des cryptomonnaies, se propageant via des sites WordPress piratés, des torrents et des e-mails de phishing ciblés.

Les courriels d'hameçonnage de la dernière campagne se font passer pour des avocats d'une grande entreprise, avertissant leurs destinataires que leur nom de domaine viole des marques. Le message menace de poursuites judiciaires, mais propose d'acheter le domaine à la place.

Les victimes sont ensuite invitées à ouvrir une pièce jointe pour obtenir des « détails », qui contient en réalité un script en plusieurs étapes. Ce script installe le cheval de Troie Efimer et dissimule son activité sous de faux messages d'erreur, laissant croire aux utilisateurs que rien ne s'est passé.

Une fois exécuté, Efimer se comporte comme un cheval de Troie ClipBanker . Il surveille le presse-papiers à la recherche d'adresses de portefeuilles de cryptomonnaies et les remplace par celles de l'attaquant. Il cible également les phrases mnémotechniques utilisées pour récupérer les portefeuilles, les enregistrant dans des fichiers avant de les exfiltrer vers un serveur de commandes caché sur le réseau Tor.

Si le Gestionnaire des tâches est en cours d'exécution, le logiciel malveillant s'arrête pour éviter d'être détecté. Il installe même Tor s'il n'est pas déjà présent sur la machine, en le téléchargeant depuis plusieurs URL codées en dur pour rendre le blocage plus difficile.

L'analyse de Kaspersky montre qu'Efimer dispose de scripts supplémentaires qui peuvent forcer les connexions WordPress en générant automatiquement des domaines cibles à partir des listes de mots de Wikipédia, puis en testant de grands lots de mots de passe contre eux.

Une fois les identifiants piratés, les attaquants peuvent publier des fichiers malveillants ou piéger les utilisateurs avec de faux torrents de films. L'un de ces leurres consiste à utiliser un torrent protégé par mot de passe qui semble contenir un film au format XMPEG , mais qui installe en réalité une autre variante d'Efimer, avec des portefeuilles falsifiés pour Tron et Solana.

Un autre script, surnommé « Liame », se concentre sur la collecte d'adresses e-mail provenant de sites web spécifiques. Il peut extraire des adresses HTML et des liens mailto, puis les renvoyer aux attaquants.

Cette même infrastructure peut également transmettre des charges utiles de type spam à des domaines ciblés. Cette polyvalence permet à Efimer de servir aussi bien d'outil de vol direct que d'élément d'un système plus vaste de spam ou de phishing.

D'octobre 2024 à juillet 2025, les produits Kaspersky ont détecté plus de 5 000 utilisateurs touchés par Efimer, l'activité la plus forte au Brésil, suivi de l'Inde, de l'Espagne, de la Russie, de l'Italie et de l'Allemagne. Les attaquants ciblent clairement les particuliers, via des torrents et du phishing, et les entreprises, en compromettant leurs sites web.

Pour protéger votre système du cheval de Troie Efimer, n'ouvrez pas de pièces jointes suspectes, ne téléchargez pas de torrents provenant de sites aléatoires et maintenez votre logiciel antivirus à jour. Pour les propriétaires de sites web, des mots de passe forts, une authentification à deux facteurs et des mises à jour logicielles régulières sont essentiels pour empêcher les attaquants d'installer des logiciels malveillants sur leurs serveurs.