MinhSec
Writer
Kaspersky vừa cảnh báo về một chiến dịch phần mềm độc hại mới có tên Efimer, được phát hiện lần đầu vào tháng 10/2024 và vẫn đang hoạt động mạnh trong năm 2025. Loại trojan này đã lây nhiễm cho hơn 5.000 người dùng trên toàn cầu, nhắm vào cả cá nhân và doanh nghiệp, với mục tiêu chính là đánh cắp tiền điện tử và xâm nhập website.
Efimer được phát tán qua nhiều kênh khác nhau, bao gồm email lừa đảo giả danh thông báo pháp lý, trang web WordPress bị hack, torrent phim giả mạo và tệp đính kèm độc hại. Trong các chiến dịch gần đây, email lừa đảo thường mạo danh luật sư của một công ty lớn, cảnh báo vi phạm nhãn hiệu để dụ nạn nhân mở tệp đính kèm. Tệp này chứa tập lệnh nhiều giai đoạn, cài đặt trojan và ngụy trang bằng thông báo lỗi giả.
Khi xâm nhập được máy tính, Efimer hoạt động như một Trojan ClipBanker: theo dõi bảng tạm, thay thế địa chỉ ví tiền điện tử bằng ví của kẻ tấn công, thu thập cụm từ ghi nhớ khôi phục ví, rồi gửi dữ liệu về máy chủ ẩn trên mạng Tor. Trojan này còn tự cài đặt Tor nếu máy chưa có và tắt ngay khi phát hiện Trình quản lý tác vụ để tránh bị lộ.
Trojan này cũng được tích hợp một tập lệnh có tên “Liame”, chuyên thu thập địa chỉ email từ website để phục vụ cho các chiến dịch spam hoặc lừa đảo khác. Chính sự linh hoạt này khiến Efimer vừa là công cụ đánh cắp trực tiếp, vừa là một phần của hệ thống tấn công mạng quy mô lớn.
Từ tháng 10/2024 đến tháng 7/2025, các nạn nhân của Efimer được ghi nhận nhiều nhất ở Brazil, Ấn Độ, Tây Ban Nha, Nga, Ý và Đức. Để phòng tránh, chuyên gia khuyến cáo không mở tệp đính kèm đáng ngờ, không tải torrent từ nguồn không tin cậy, luôn cập nhật phần mềm diệt virus, đồng thời với quản trị web, cần sử dụng mật khẩu mạnh, bật xác thực hai yếu tố và cập nhật hệ thống thường xuyên.
hackread.com
Efimer được phát tán qua nhiều kênh khác nhau, bao gồm email lừa đảo giả danh thông báo pháp lý, trang web WordPress bị hack, torrent phim giả mạo và tệp đính kèm độc hại. Trong các chiến dịch gần đây, email lừa đảo thường mạo danh luật sư của một công ty lớn, cảnh báo vi phạm nhãn hiệu để dụ nạn nhân mở tệp đính kèm. Tệp này chứa tập lệnh nhiều giai đoạn, cài đặt trojan và ngụy trang bằng thông báo lỗi giả.
Khi xâm nhập được máy tính, Efimer hoạt động như một Trojan ClipBanker: theo dõi bảng tạm, thay thế địa chỉ ví tiền điện tử bằng ví của kẻ tấn công, thu thập cụm từ ghi nhớ khôi phục ví, rồi gửi dữ liệu về máy chủ ẩn trên mạng Tor. Trojan này còn tự cài đặt Tor nếu máy chưa có và tắt ngay khi phát hiện Trình quản lý tác vụ để tránh bị lộ.
Tấn công WordPress và lừa đảo qua torrent
Ngoài việc đánh cắp tiền điện tử, Efimer còn sở hữu công cụ tấn công brute force để xâm nhập trang web WordPress. Nó tự tạo danh sách tên miền từ Wikipedia, thử nhiều mật khẩu để chiếm quyền quản trị, rồi tải lên tệp độc hại hoặc cài đặt mã lừa đảo. Một trong những chiêu phổ biến là phát tán torrent phim giả mạo, có mật khẩu bảo vệ, thực chất chứa phiên bản Efimer khác kèm ví tiền điện tử giả cho Tron và Solana.Trojan này cũng được tích hợp một tập lệnh có tên “Liame”, chuyên thu thập địa chỉ email từ website để phục vụ cho các chiến dịch spam hoặc lừa đảo khác. Chính sự linh hoạt này khiến Efimer vừa là công cụ đánh cắp trực tiếp, vừa là một phần của hệ thống tấn công mạng quy mô lớn.
Từ tháng 10/2024 đến tháng 7/2025, các nạn nhân của Efimer được ghi nhận nhiều nhất ở Brazil, Ấn Độ, Tây Ban Nha, Nga, Ý và Đức. Để phòng tránh, chuyên gia khuyến cáo không mở tệp đính kèm đáng ngờ, không tải torrent từ nguồn không tin cậy, luôn cập nhật phần mềm diệt virus, đồng thời với quản trị web, cần sử dụng mật khẩu mạnh, bật xác thực hai yếu tố và cập nhật hệ thống thường xuyên.
Efimer Trojan Steals Crypto, Hacks WordPress Sites via Torrents and Phishing
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview