Il trojan Efimer ruba criptovalute e hackera i siti WordPress tramite torrent e phishing

Kaspersky segnala che il trojan Efimer sta infettando migliaia di persone, scambiando portafogli crittografici, attaccando siti con attacchi brute force e diffondendosi tramite torrent e phishing.

I criminali informatici stanno diventando sempre più creativi con le loro truffe e l'ultimo esempio proviene da un'operazione malware nota come Efimer. Individuato per la prima volta da Kaspersky nell'ottobre 2024 e ancora attivo e in diffusione nel 2025, il trojan ha rubato criptovalute, diffondendosi attraverso siti WordPress hackerati, torrent ed email di phishing mirate.

Le email di phishing della campagna più recente fingono di provenire dagli avvocati di una grande azienda, avvisando i destinatari che il loro nome di dominio viola i marchi registrati. Il messaggio minaccia azioni legali, ma offre invece l'acquisto del dominio.

Alle vittime viene quindi chiesto di aprire un allegato per ottenere "dettagli", che in realtà contiene uno script multifase. Questo script scarica il trojan Efimer e maschera la sua attività con falsi messaggi di errore, in modo che gli utenti credano che non sia successo nulla.

Una volta in esecuzione, Efimer si comporta come un trojan ClipBanker . Monitora gli appunti alla ricerca di indirizzi di wallet di criptovalute e li sostituisce con quelli dell'aggressore. Prende di mira anche le frasi mnemoniche utilizzate per recuperare i wallet, salvandole su file prima di esfiltrarle su un server di comando nascosto sulla rete Tor.

Se Task Manager è in esecuzione, il malware si arresta per evitare di essere rilevato. Installa addirittura Tor stesso, se non è già presente sul computer, scaricandolo da più URL hardcoded per rendere più difficile il blocco.

L'analisi di Kaspersky mostra che Efimer dispone di script aggiuntivi in grado di forzare gli accessi a WordPress generando automaticamente domini di destinazione da elenchi di parole di Wikipedia, per poi testare su di essi grandi quantità di password.

Una volta violate le credenziali, gli aggressori possono pubblicare file dannosi o adescare gli utenti con falsi torrent di film. Una di queste esche riguarda un torrent protetto da password che sembra contenere un film in formato XMPEG , ma in realtà installa un'altra variante di Efimer, completa di wallet falsi per Tron e Solana.

Un altro script, soprannominato "Liame", si concentra sulla raccolta di indirizzi email da siti web specifici. Può estrarre indirizzi da link HTML e mailto, per poi inviarli agli aggressori.

La stessa infrastruttura può anche inviare payload simili a spam verso domini mirati. Questa versatilità consente a Efimer di fungere sia da strumento di furto diretto sia da parte di un sistema di spam o phishing più ampio.

Da ottobre 2024 a luglio 2025, i prodotti Kaspersky hanno rilevato oltre 5.000 utenti colpiti da Efimer, con l'attività più elevata in Brasile, seguito da India, Spagna, Russia, Italia e Germania. Gli aggressori prendono chiaramente di mira sia i singoli utenti, tramite torrent e phishing, sia le aziende, compromettendo i siti web aziendali.

Per proteggere il sistema dal trojan Efimer, non aprire allegati sospetti, non scaricare torrent da siti casuali e mantieni aggiornato il tuo software antivirus. Per i proprietari di siti web, password complesse, autenticazione a due fattori e aggiornamenti software regolari sono fondamentali per impedire agli aggressori di installare malware sui propri server.