Efimer Truva Atı Kripto Para Çalıyor, Torrentler ve Kimlik Avı Yoluyla WordPress Sitelerini Hackliyor

Kaspersky, Efimer Truva Atı'nın binlerce kişiyi etkilediğini, kripto cüzdanlarını değiştirdiğini, sitelere kaba kuvvet saldırısı düzenlediğini ve torrentler ve kimlik avı yoluyla yayıldığını bildiriyor.

Siber suçlular dolandırıcılık yöntemlerinde giderek daha yaratıcı hale geliyor ve en son örnek, Efimer olarak bilinen bir kötü amaçlı yazılım operasyonundan geliyor. İlk olarak Kaspersky tarafından Ekim 2024'te tespit edilen ve 2025'te hala aktif ve yayılmaya devam eden bu Truva Atı, hacklenmiş WordPress siteleri, torrentler ve hedefli kimlik avı e-postaları aracılığıyla kripto para çalıyor.

Son kampanyadaki kimlik avı e-postaları, büyük bir şirketin avukatlarından geliyormuş gibi görünerek, alıcıları alan adlarının ticari markaları ihlal ettiği konusunda uyarıyor. Mesajda, yasal işlem tehdidinde bulunuluyor ancak alan adını satın alma teklif ediliyor.

Mağdurlar daha sonra, aslında çok aşamalı bir betik içeren "ayrıntılar" için bir eki açmaya yönlendirilir. Bu betik, Efimer trojanını bırakır ve etkinliğini sahte hata mesajlarıyla gizler, böylece kullanıcılar hiçbir şey olmadığını düşünür.

Efimer, çalıştırıldığında bir ClipBanker Truva Atı gibi davranır. Panodaki kripto para cüzdanı adreslerini izler ve bunları saldırganın kendi adresleriyle değiştirir. Ayrıca, cüzdanları kurtarmak için kullanılan anımsatıcı ifadeleri hedef alır, bunları dosyalara kaydeder ve ardından Tor ağında gizli bir komut sunucusuna aktarır.

Görev Yöneticisi çalışıyorsa, kötü amaçlı yazılım tespit edilmemek için kapanır. Hatta, makinede zaten yüklü değilse, Tor'u kendisi yükler ve engellemeyi zorlaştırmak için onu birden fazla sabit kodlu URL'den indirir.

Kaspersky'nin analizi, Efimer'in, Wikipedia kelime listelerinden hedef alan adlarını otomatik olarak üreterek WordPress oturum açma işlemlerini zorla ele geçirebilen ve ardından büyük miktarda parolayı bunlara karşı test edebilen ek betiklere sahip olduğunu gösteriyor.

Kimlik bilgileri kırıldığında, saldırganlar kötü amaçlı dosyalar gönderebilir veya kullanıcıları sahte film torrentleriyle kandırabilir. Bu tür tuzaklardan biri, XMPEG formatında bir film içeriyormuş gibi görünen, ancak aslında Tron ve Solana için sahte cüzdanlarla birlikte başka bir Efimer sürümü yükleyen, parola korumalı bir torrent'tir.

"Liame" lakaplı bir diğer betik ise belirli web sitelerinden e-posta adresleri toplamaya odaklanıyor. HTML ve mailto bağlantılarından adresleri toplayıp saldırganlara geri gönderebiliyor.

Aynı altyapı, hedeflenen etki alanlarına spam benzeri yükler de gönderebilir. Bu çok yönlülük, Efimer'ın hem doğrudan bir hırsızlık aracı hem de daha büyük bir spam veya kimlik avı sisteminin parçası olarak hizmet verebileceği anlamına gelir.

Ekim 2024 ile Temmuz 2025 arasında Kaspersky ürünleri, Efimer'den etkilenen 5.000'den fazla kullanıcı tespit etti; en yüksek etkinlik Brezilya'da gerçekleşti; Brezilya'yı Hindistan, İspanya, Rusya, İtalya ve Almanya takip etti. Saldırganlar, torrent ve kimlik avı yoluyla bireyleri ve kurumsal web sitelerini ele geçirerek işletmeleri açıkça hedef aldı.

Sisteminizi Efimer trojanından korumak için şüpheli ekleri açmayın, rastgele sitelerden torrent indirmeyin ve antivirüs yazılımınızı güncel tutun. Web sitesi sahipleri için güçlü parolalar, iki faktörlü kimlik doğrulama ve düzenli yazılım güncellemeleri, saldırganların sunucularına kötü amaçlı yazılım yüklemesini önlemek açısından kritik öneme sahiptir.