Trojan Efimer rouba criptomoedas e invade sites WordPress por meio de torrents e phishing

A Kaspersky relata que o Trojan Efimer infecta milhares de pessoas, troca carteiras de criptomoedas, faz ataques de força bruta em sites e se espalha por meio de torrents e phishing.

Os cibercriminosos estão cada vez mais criativos com seus golpes, e o exemplo mais recente vem de uma operação de malware conhecida como Efimer. Detectado pela primeira vez pela Kaspersky em outubro de 2024 e ainda ativo e se espalhando em 2025, o Trojan vem roubando criptomoedas, espalhando-se por meio de sites WordPress hackeados, torrents e e-mails de phishing direcionados.

Os e-mails de phishing da campanha mais recente fingem vir de advogados de uma grande empresa, alertando os destinatários de que seu nome de domínio viola marcas registradas. A mensagem ameaça com ação judicial, mas oferece a compra do domínio.

As vítimas são então solicitadas a abrir um anexo para "detalhes", que, na verdade, contém um script multietapas. Esse script instala o trojan Efimer e disfarça sua atividade com mensagens de erro falsas, para que os usuários pensem que nada aconteceu.

Uma vez em execução, o Efimer se comporta como um Trojan ClipBanker . Ele monitora a área de transferência em busca de endereços de carteiras de criptomoedas e os substitui pelos do próprio invasor. Ele também tem como alvo frases mnemônicas usadas para recuperar carteiras, salvando-as em arquivos antes de exfiltrá-las para um servidor de comando oculto na rede Tor.

Se o Gerenciador de Tarefas estiver em execução, o malware é desativado para evitar a detecção. Ele até instala o Tor, caso ainda não esteja na máquina, baixando-o de várias URLs codificadas para dificultar o bloqueio.

A análise da Kaspersky mostra que o Efimer tem scripts extras que podem usar força bruta para fazer login no WordPress, gerando automaticamente domínios de destino a partir de listas de palavras da Wikipédia e testando grandes lotes de senhas contra eles.

Quando credenciais são quebradas, invasores podem publicar arquivos maliciosos ou atrair usuários com torrents de filmes falsos. Um desses golpes envolve um torrent protegido por senha que parece conter um filme no formato XMPEG , mas na verdade instala outra variante do Efimer, com carteiras falsas para Tron e Solana.

Outro script, apelidado de "Liame", concentra-se em coletar endereços de e-mail de sites específicos. Ele pode extrair endereços de HTML e links mailto e enviá-los de volta aos invasores.

A mesma infraestrutura também pode enviar cargas úteis semelhantes a spam para domínios alvos. Essa versatilidade significa que o Efimer pode servir tanto como uma ferramenta de roubo direto quanto como parte de um sistema maior de spam ou phishing.

De outubro de 2024 a julho de 2025, os produtos Kaspersky detectaram mais de 5.000 usuários afetados pelo Efimer, com a maior atividade no Brasil, seguido por Índia, Espanha, Rússia, Itália e Alemanha. Os invasores visam claramente tanto indivíduos, por meio de torrents e phishing, quanto empresas, comprometendo sites corporativos.

Para proteger seu sistema do trojan Efimer, não abra anexos suspeitos, não baixe torrents de sites aleatórios e mantenha seu antivírus atualizado. Para proprietários de sites, senhas fortes, autenticação de dois fatores e atualizações regulares de software são essenciais para impedir que invasores instalem malware em seus servidores.