Kaspersky araştırmacıları, öncelikle kripto para birimini çalmayı amaçlayan sofistike bir Truva Durumu olan Efimer kötü niyetli senaryo ile ilgili yaygın bir kampanya ortaya çıkardılar.
İlk olarak Haziran 2025’te tespit edilen kötü amaçlı yazılım, büyük şirketlerden gelen yasal yazışmaları taklit ederek, alan adı ihlallerini suçlayarak ve Efimer Stealer’ı dağıtan kötü amaçlı arşivler ekleyerek alıcıları suçluyor. ‘
Şifre çözülmüş senaryosunda bir yorumdan sonra adlandırılan Efimer, Ekim 2024’ten bu yana aktiftir ve başlangıçta e-posta kimlik avı ve torrent tabanlı cazibelere genişlemeden önce tehlikeye atılan WordPress siteleri aracılığıyla yayılır.
Bu çok vektör yaklaşımı, Temmuz 2025’e kadar küresel olarak 5.000’den fazla kullanıcıyı etkiledi ve Brezilya 1.476 vakada en yüksek enfeksiyonları gördü, bunu Hindistan, İspanya, Rusya, İtalya ve Almanya izledi.
Arka plan ve ilk keşif
Komut dosyasının Kaspersky ürünleri altındaki algılama kararları, hükmü içerir: Trojan-Dropper.script.efimer, heur: Trojan-Banker.script.efimer, heur: Trojan.script.efimer, heur.
E -posta dağıtım taktiği, ticari marka ihlallerini iddia eden, belirli bir alan adı belirtilmeyen, kurbanları “DEAL_984175” (E337C507A486169A7394D718BC19DF9) açmaya çağıran kimlik avı içermektedir.
Bu, otomatik ekstraksiyondan kaçınmak için UNICODE Obfusation (U+1D5E6 ‘için U+1D5E6) kullanılarak iç içe geçmiş bir şifre korumalı arşiv ve aldatıcı bir şifre dosyası içerir.
Çıkarma, yürütme üzerine yönetici ayrıcalıklarını kontrol eden ve C: \ Users \ public \ denetleyicisine çekirdek Efimer bileşenini kuran “gereksinim.wsf” i ortaya çıkar.
Denetleyici klasörü, komut dosyasının kendisi ve exe ve cmd.exe gibi sistem işlemleri gibi yollar için Windows Defender’a hariç tutma ekler.
Ayrıcalıklara bağlı olarak, Controller.xml aracılığıyla görevleri planlar veya kayıt defteri otomatik anahtarları ayarlar, ardından yanıltıcı kullanıcılara sahte bir hata mesajı görüntüler.
Yayılma mekanizmaları
Efimer, kripto para birimi cüzdan adreslerini Bitcoin, Ethereum, Monero, Tron ve Solana için saldırganların sürümleriyle değiştirmek için panoyu izleyerek bir Clipbanker Truva atı olarak işlev görür.
Adresleri tanımlamak ve değiştirmek için Regex desenleri kullanır, kısmi eşleşmeleri (örn., Kısa Bitcoin cüzdanları için ilk iki karakter veya BC1Q-PREFIXED’ler için son karakter) sağlamak için uygunluğu korumak için.
Komut ve kontrol (C2) sunucusu ile iletişim, LocalHost: 9050 üzerinden curl kullanarak CgKY6ux5wvlyBtmm3Z255igt52ljml2ngnc5qp3cnw5jljlglamisad.onrout.php.
Komut dosyası, C2’yi her 30 dakikada bir GUID (örn., VS1A-1A2B) ile ping, uzaktan kod yürütme veya tohum ifadesi eksfiltrasyonunu kullanma gibi komutlar alır.
Mnemonics tespit ettikten sonra ekran görüntülerini PowerShell üzerinden yakalar, geçici olarak kaydeder ve filetoonion yoluyla /Recvf.php gibi yollara yükler. Hırsızlığın ötesinde, Efimer kendi kendini gösterme için yardımcı komut dosyaları aracılığıyla genişler.
Bir varyant, btdlg.js (MD5: 0F5404AA252F28C61B08390D52B7A054), WIKIPedia-Soured Word Listes, Google/Bing aramaları kullanılarak WordPress Yönetici kimlik bilgilerini, hedefler için Google/Bing aramaları ve XML-RPC test girişleri oluşturmak için.
İşsizliği önlemek için 20 kadar eşzamanlı işlemi, etki alanı nesnelerini kilitler ve başarıları iyi komutlarla C2’ye bildirir.
Meyveden çıkarılan siteler, XMPEG oynatıcı olarak gizlenmiş efimer (örneğin xmpeg_player.exe, md5: 442ab067bf78067f5db5d515897db15c) sunan şifre korumalı torrentlere bağlanan sahte film indirme yazılarına ev sahipliği yapar.
Başka bir komut dosyası, liame.js (MD5: EB54C2FF2F62DA5D2295AB96EB8D88843), posta bağlantıları için HTML ayrıştırma yoluyla belirtilen alanlardan e-posta adreslerini hasat eder, spam kampanyaları için bunları doldurur.
Bir varyant, montaj.js (MD5: 100620A913F0E0A538B115DBACE78589), VM algılama, tarayıcı uzantılarında cüzdan taraması ve kendi kendini kurtarma için öldürme gibi komutlar ekler.
Torrents’den alternatif bir EFIMER sürümü NTDLG.JS (MD5: 627DC31DA795B9AB4B8DE88FBF952) kullanır, TOR’u ntdlg.exe olarak çıkarır ve PowerShell üzerinden defender hariç tutumları ekler.
Rapora göre, kötü amaçlı yazılım, WMI sorgularını kullanarak görev yöneticisi algılamasını önler ve güvenilir bir şekilde eksfiltrasyon için tohum dosyalarını işler.
Bu altyapı, saldırganların daha fazla uzlaşma için botnet oluşturmalarını, güçlü şifrelere ihtiyaç duyulmasını, iki faktörlü kimlik doğrulama ve WordPress sitelerinde güncellenen antivirüsleri vurgulamalarını sağlarken, kullanıcılar şüpheli sellerden kaçınmalı ve e-posta gönderenleri doğrulamalıdır.
Uzlaşma Göstergeleri (IOC)
| Kategori | Detaylar |
|---|---|
| Dosya Hashes (kötü niyetli) | 39FA36B9BFCF6FD4388EB586E2798D1A (gereksinim.wsf) 5BA59F9E6431017277DB39ED5994D363 (Controller.js) 442ab067bf78067f5db5d515897db15c (xmpeg_player.exe) 16057E720BE5F29E5B02061520068101 (xmpeg_player.exe) 627dc31da795b9Ab4b8de8e58fbf952 (ntdlg.js) 0F5404AA252F28C61B08390D52B7A054 (btdlg.js) EB54C2FF2F62DA5D2295AB96B8D8D8D8D8D8D8D8D8D8D8D8D843 (LIAME.JS) 100620A913F0E0A538B115DBACE78589 (Assembly.js) B405A61195AA82A37DC1CCA0B0E7D6C1 (Btdlg.js) |
| Dosya Hashes (Temiz İlgili) | 5D132FB6EC6FAC12F01687F2C0375353 (ntdlg.exe – tor) |
| Web siteleri | hxxps: // lovetahq[.]com/günahkarlar-2025-Torent-File/ hxxps: // lovetahq[.]com/wp-content/uploads/2025/04/movie_39055_xmpg.zip |
| C2 URL’ler | hxxp: // cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]soğan hxxp: // he5vnov645txpcv57el2thy2elesn24ebvgwfoewlpftksxp4fnxad[.]soğan |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir