Os pesquisadores da Kaspersky descobriram uma campanha generalizada envolvendo o script malicioso Efimer, um sofisticado Trojan-dropper destinado principalmente a roubar criptomoedas.
Detectado pela primeira vez em junho de 2025, o malware se faz passar por correspondência legal de grandes empresas, acusando os destinatários de violações de nomes de domínio e anexando arquivos maliciosos que implantam o ladrão Efimer. ‘
Com o nome de um comentário em seu script descriptografado, o Efimer está ativo desde outubro de 2024, inicialmente se propagando por meio de Sites WordPress antes de expandir para phishing por e-mail e iscas baseadas em torrent.
Essa abordagem multivetorial impactou mais de 5.000 usuários em todo o mundo até julho de 2025, com o Brasil registrando o maior número de infecções com 1.476 casos, seguido pela Índia, Espanha, Rússia, Itália e Alemanha.
Antecedentes e descoberta inicial
Os veredictos de detecção do script nos produtos da Kaspersky incluem HEUR:Trojan-Dropper.Script.Efimer, HEUR:Trojan-Banker.Script.Efimer, HEUR:Trojan.Script.Etimer e HEUR:Trojan-Spy.Script.Efimer.gen, destacando suas funções na queda de cargas úteis, roubo bancário, comportamento genérico de trojan e espionagem.
A tática de distribuição de e-mail envolve mensagens de phishing alegando violações de marca registrada, sem nenhum domínio específico mencionado, pedindo às vítimas que abram um anexo ZIP como “Demand_984175” (MD5: e337c507a4866169a7394d718bc19df9).
Ele contém um arquivo aninhado protegido por senha e um arquivo de senha enganoso usando ofuscação Unicode (U+1D5E6 para ‘S’) para evitar a extração automatizada.
Extraí-lo revela “Requirement.wsf”, que, após a execução, verifica os privilégios de administrador e instala o componente principal do Efimer em C:UsersPubliccontroller.
Ele adiciona exclusões ao Windows Defender para caminhos como a pasta do controlador, o próprio script e processos do sistema, como exe e cmd.exe.
Dependendo dos privilégios, ele agenda tarefas por meio de controller.xml ou define chaves de execução automática do registro e, em seguida, exibe uma mensagem de erro falsa para enganar os usuários.
Mecanismos de propagação
O Efimer funciona como um Trojan ClipBanker, monitorando a área de transferência para substituir endereços de carteira de criptomoedas por versões de invasores para Bitcoin, Ethereum, Monero, Tron e Solana.
Ele emprega padrões regex para identificar e trocar endereços, garantindo correspondências parciais (por exemplo, os dois primeiros caracteres para carteiras curtas de Bitcoin ou o último caractere para as prefixadas bc1q) para manter a plausibilidade.
Comunicação com seus comando e controle (C2) ocorre por meio de um proxy Tor baixado de URLs codificados em sites comprometidos, usando curl over localhost:9050 para endpoints como cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion/route.php.
O script executa ping no C2 a cada 30 minutos com um GUID (por exemplo, vs1a-1a2b), recebendo comandos como EVAL para execução remota de código ou manipulação de exfiltração de frase inicial.
Ele captura capturas de tela por meio do PowerShell depois de detectar mnemônicos, salva-as temporariamente e carrega por meio de FileToOnion em caminhos como /recvf.php. Além do roubo, o Efimer se expande por meio de scripts auxiliares para autopropagação.
Uma variante, btdlg.js (MD5: 0f5404aa252f28c61b08390d52b7a054), força bruta as credenciais de administrador do WordPress usando listas de palavras de origem da Wikipedia, pesquisas do Google/Bing por alvos e postagens XML-RPC para criar entradas de teste.
Ele gerencia até 20 processos simultâneos, bloqueando objetos de domínio para evitar redundância e relata sucessos ao C2 com comandos GOOD.
Os sites comprometidos hospedam postagens falsas de download de filmes com links para torrents protegidos por senha, que entregam Efimer disfarçado de reprodutores XMPEG (por exemplo, xmpeg_player.exe, MD5: 442ab067bf78067f5db5d515897db15c).
Outro script, liame.js (MD5: eb54c2ff2f62da5d2295ab96eb8d8843), coleta endereços de e-mail de domínios especificados por meio da análise de HTML para links mailto, desduplicando-os e exfiltrando-os para campanhas de spam.
Uma variante, assembly.js (MD5: 100620a913f0e0a538b115dbace78589), adiciona detecção de VM, verificação de carteira em extensões de navegador e comandos como KILL para autoremoção.
Uma versão alternativa do Efimer de torrents usa ntdlg.js (MD5: 627dc31da795b9ab4b8de8ee58fbf952), extraindo o Tor como ntdlg.exe e adicionando exclusões do Defender por meio do PowerShell.
De acordo com o relatório, O malware evita a detecção do Gerenciador de Tarefas usando consultas WMI e lida com arquivos de semente para exfiltração confiável.
Essa infraestrutura permite que os invasores criem botnets para mais comprometimentos, enfatizandozing a necessidade de senhas fortes, autenticação de dois fatores e antivírus atualizado em sites WordPress, enquanto os usuários devem evitar torrents suspeitos e verificar os remetentes de e-mail.
Indicadores de Comprometimento (IOC)
| Categoria | Detalhes |
|---|---|
| Hashes de arquivo (maliciosos) | 39fa36b9bfcf6fd4388eb586e2798d1a (Requisito.wsf) 5ba59f9e6431017277db39ed5994d363 (controller.js) 442AB067BF78067F5DB5D515897DB15C (xmpeg_player.exe) 16057e720be5f29e5b02061520068101 (xmpeg_player.exe) 627dc31da795b9ab4b8de8ee58fbf952 (ntdlg.js) 0f5404aa252f28c61b08390d52b7a054 (btdlg.js) eb54c2ff2f62da5d2295ab96eb8d8843 (liame.js) 100620a913f0e0a538b115dbace78589 (assembly.js) b405a61195aa82a37dc1cca0b0e7d6c1 (btdlg.js) |
| Hashes de arquivo (limpeza envolvida) | 5d132fb6ec6fac12f01687f2c0375353 (ntdlg.exe – Tor) |
| Sites | hxxps://lovetahq[.]com/sinners-2025-torent-file/ hxxps://lovetahq[.]com/wp-content/uploads/2025/04/movie_39055_xmpg.zip |
| C2 URLs | hxxp://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]cebola hxxp://he5vnov645txpcv57el2theky2elesn24ebvgwfoewlpftksxp4fnxad[.]cebola |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça