Efimer Trojan steelt crypto en hackt WordPress-sites via torrents en phishing

Kaspersky meldt dat de Efimer Trojan duizenden mensen infecteert, cryptowallets verwisselt, sites aanvalt met brute force-aanvallen en zich verspreidt via torrents en phishing.

Cybercriminelen worden steeds creatiever met hun oplichtingspraktijken. Het meest recente voorbeeld is de malware-operatie Efimer. Deze trojan werd voor het eerst opgemerkt door Kaspersky in oktober 2024 en is in 2025 nog steeds actief en verspreid. De trojan steelt cryptovaluta en verspreidt zich via gehackte WordPress-sites, torrents en gerichte phishingmails .

De phishingmails in de meest recente campagne doen zich voor als afkomstig van advocaten van een groot bedrijf en waarschuwen de ontvangers dat hun domeinnaam inbreuk maakt op handelsmerken. In het bericht wordt gedreigd met juridische stappen, maar in plaats daarvan wordt aangeboden het domein te kopen.

Slachtoffers worden vervolgens gevraagd een bijlage te openen voor "details", die in werkelijkheid een script met meerdere stappen bevat. Dit script verwijdert de Efimer-trojan en verhult zijn activiteit met valse foutmeldingen, zodat gebruikers denken dat er niets is gebeurd.

Eenmaal actief gedraagt Efimer zich als een ClipBanker Trojan . Het controleert het klembord op cryptocurrency-walletadressen en vervangt deze door die van de aanvaller. Het richt zich ook op mnemonische zinnen die worden gebruikt om wallets te herstellen, door deze op te slaan in bestanden en ze vervolgens te exfiltreren naar een commandoserver die verborgen is op het Tor-netwerk.

Als Taakbeheer actief is, wordt de malware afgesloten om detectie te voorkomen. Tor wordt zelfs automatisch geïnstalleerd als het nog niet op de computer aanwezig is en gedownload via meerdere hardgecodeerde URL's om blokkering te bemoeilijken.

Uit de analyse van Kaspersky blijkt dat Efimer extra scripts heeft waarmee WordPress-aanmeldingen met brute force- aanvallen kunnen worden uitgevoerd. Dit gebeurt door automatisch doeldomeinen te genereren op basis van woordenlijsten op Wikipedia en vervolgens grote hoeveelheden wachtwoorden op basis daarvan te testen.

Wanneer inloggegevens worden gekraakt, kunnen aanvallers schadelijke bestanden plaatsen of gebruikers lokken met neppe filmtorrents. Een voorbeeld hiervan is een met een wachtwoord beveiligde torrent die een film in XMPEG formaat lijkt te bevatten, maar in werkelijkheid een andere Efimer-variant installeert, compleet met vervalste wallets voor Tron en Solana.

Een ander script, bijgenaamd "Liame", richt zich op het verzamelen van e-mailadressen van specifieke websites. Het kan adressen uit HTML en mailto-links halen en deze vervolgens terugsturen naar de aanvallers.

Dezelfde infrastructuur kan ook spamachtige payloads naar specifieke domeinen pushen. Deze veelzijdigheid betekent dat Efimer zowel kan dienen als een tool voor directe diefstal als onderdeel van een groter spam- of phishingsysteem.

Van oktober 2024 tot juli 2025 detecteerden Kaspersky-producten meer dan 5.000 gebruikers die door Efimer waren getroffen, met de hoogste activiteit in Brazilië, gevolgd door India, Spanje, Rusland, Italië en Duitsland. De aanvallers richten zich duidelijk op zowel particulieren, via torrents en phishing, als bedrijven, door bedrijfswebsites te hacken.

Om uw systeem te beschermen tegen de Efimer-trojan, opent u geen verdachte bijlagen, downloadt u geen torrents van willekeurige websites en houdt u uw antivirussoftware up-to-date. Voor website-eigenaren zijn sterke wachtwoorden, tweefactorauthenticatie en regelmatige software-updates essentieel om te voorkomen dat aanvallers malware op hun servers installeren.