Kaspersky, Binlerce’yi enfekte eden, kripto cüzdanları, kaba zorlama alanlarını değiştirerek ve torrent ve kimlik avına yayıldığını bildiriyor.
Siber suçlular dolandırıcılıklarıyla daha yaratıcı hale geliyor ve en son örnek Efimer olarak bilinen bir kötü amaçlı yazılım işleminden geliyor. İlk olarak Kaspersky tarafından Ekim 2024’te tespit edilen ve hala aktif ve 2025’te yayılan Truva, hacklenen WordPress siteleri, sel ve hedeflenen kimlik avı e -postalarından yayılan kripto para birimini çalıyor.
Yasal bildirim olarak poz veren kimlik avı e -postaları
En son kampanyadaki kimlik avı e -postaları, büyük bir şirkette avukatlardan geliyormuş gibi davranıyor, alıcılara alan adlarının ticari markaları ihlal ettiğini uyarıyor. Mesaj yasal işlemi tehdit ediyor, ancak bunun yerine alan adını satın almayı teklif ediyor.
Mağdurlardan daha sonra aslında çok aşamalı bir senaryo içeren “Ayrıntılar” için bir ek açmaları istenir. Bu senaryo Efimer Truva atını düşürür ve etkinliğini sahte hata mesajları ile gizler, böylece kullanıcılar hiçbir şeyin olmadığını düşünür.
Cüzdan adreslerinizi değiştirme
Koşduktan sonra Efimer bir klipsli Truva atı gibi davranır. Kripto para cüzdanı adresleri için panoyu izler ve bunları saldırganın kendisiyle değiştirir. Ayrıca, cüzdanları kurtarmak için kullanılan anımsatıcı ifadeleri hedefler, bunları TOR ağında gizlenmiş bir komut sunucusuna eksifiklemeden önce dosyalara kaydeder.
Görev yöneticisi çalışıyorsa, kötü amaçlı yazılım algılamayı önlemek için kapanır. Halen makinede değilse Tor’u bile yükler, engellemeyi daha zor hale getirmek için çoklu sabit kodlu URL’lerden indirir.
Brute Force ile WordPress sitelerini hedeflemek
Kaspersky’nin analizi, Efimer’in Wikipedia kelime listelerinden otomatik olarak hedef alanlar üreterek, ardından büyük şifre gruplarını bunlara karşı test ederek WordPress girişlerini kaba olabilen ekstra komut dosyalarına sahip olduğunu gösteriyor.
Kimlik bilgileri kırıldığında, saldırganlar kötü amaçlı dosyalar gönderebilir veya kullanıcıları sahte film torrentleriyle çekebilir. Böyle bir cazibe, bir film içeriyor gibi görünen şifre korumalı bir torrent içerir. XMPEG Format ancak aslında Tron ve Solana için sahte cüzdanlarla birlikte başka bir Efimer varyantı kurar.
“Liame” lakaplı başka bir senaryo, belirtilen web sitelerinden e -posta adresleri toplamaya odaklanıyor. HTML ve Mailto bağlantılarından adresleri kazıyabilir, ardından bunları saldırganlara geri gönderebilir.
Aynı altyapı, spam benzeri yükleri hedeflenen alanlara da itebilir. Bu çok yönlülük, Efimer’in hem doğrudan hırsızlık aracı hem de daha büyük bir spam veya kimlik avı sisteminin bir parçası olarak hizmet edebileceği anlamına gelir.
Dünya çapında kurbanlar
Ekim 2024’ten Temmuz 2025’e kadar Kaspersky ürünleri, Brezilya’daki en yüksek faaliyete sahip Efimer tarafından vurulan 5.000’den fazla kullanıcı tespit etti ve bunu Hindistan, İspanya, Rusya, İtalya ve Almanya izledi. Saldırganlar, kurumsal web sitelerinden ödün vererek her iki kişiyi torrentler ve kimlik avı ve işletmeler aracılığıyla açıkça hedefliyor.
Sisteminizi Efimer Trojan’dan korumak için şüpheli ekler açmayın, rastgele sitelerden torrent indirmeyin ve antivirüs yazılımınızı güncel tutun. Web sitesi sahipleri, güçlü şifreler, iki faktörlü kimlik doğrulama ve düzenli yazılım güncellemeleri için saldırganların sunucularına kötü amaçlı yazılım yüklemesini önlemek için kritik öneme sahiptir.