O Trojan Efimer surgiu como um potente malware do tipo ClipBanker, projetado principalmente para roubar criptomoedas interceptando e trocando endereços de carteira nas áreas de transferência das vítimas.
Detectado pela primeira vez em outubro de 2024, o Efimer recebeu o nome de um comentário em seu script descriptografado que evoluiu para uma ameaça multifacetada, espalhando-se por meio de sites WordPress comprometidos, torrents maliciosos e campanhas de e-mail direcionadas.
Campanha de mala direta
Os pesquisadores da Kaspersky descobriram uma operação de mala direta em junho de 2025, em que e-mails se passavam por advogados de grandes empresas, acusando falsamente os destinatários de violações de nomes de domínio em marcas registradas.
Esses e-mails de phishing omitiram detalhes específicos do domínio, mas anexaram um arquivo ZIP chamado “Demand_984175” (MD5: e337c507a4866169a7394d718bc19df9), contendo um arquivo aninhado protegido por senha e um arquivo de senha enganoso usando ofuscação Unicode (U+1D5E6) para evitar ferramentas de extração automatizadas.
Descompactar revela “Requirement.wsf”, um Arquivo de script do Windows que inicia a infecção. Após a execução, ele verifica se há privilégios de administrador por meio de uma gravação de arquivo temporário em C:WindowsSystem32wsf_admin_test.tmp.
Se privilegiado, ele exclui caminhos como C:UsersPubliccontroller do Windows Defender, implanta “controller.js” (o script principal do Efimer) e “controller.xml” e agenda tarefas para persistência.
Para execuções sem privilégios, ele usa chaves do Registro em HKCUSoftwareMicrosoftWindowsCurrentVersionRuncontroller.
O script exibe uma mensagem de erro falsa para enganar os usuários, enquanto instala um proxy Tor (por exemplo, de URLs codificados como https://inpama[.]com/wp-content/plugins/XZorder/ntdlg.dat) para comunicação C2 pela rede Onion em endereços como http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]cebola/route.php.
Ataques de força bruta
O loop principal do Etimer monitora o Gerenciador de Tarefas para evitar a detecção, faz ping no C2 a cada 30 minutos via curl over Tor e processa comandos como EVAL para execução remota de código ou GUID para keep-alive.
Ele verifica as áreas de transferência em busca de frases de semente mnemônicas, salvando-as em um arquivo “SEED” para exfiltração, captura capturas de tela usando o PowerShell para contexto e substitui os endereços Bitcoin (por exemplo, começando com “1”, “3”, “bc1q”), Ethereum (“0x”) e Monero (“4” ou “8”) por endereços controlados pelo invasor, garantindo correspondências parciais para evitar suspeitas.
Por exemplo, carteiras curtas de Bitcoin correspondem aos dois primeiros caracteres, enquanto as trocas de Ethereum preservam os três iniciais.
A distribuição se estende a torrents com armadilhas em hackeados Sites WordPress, em que as postagens atraem os usuários com downloads de filmes falsos (por exemplo, “Sinners 2025” no https://lovetahq[.]com), levando a uma pasta XMPEG com “xmpeg_player.exe” (MD5: 442ab067bf78067f5db5d515897db15c), que extrai “ntdlg.js” e componentes Tor, adicionando exclusões via PowerShell.
Scripts adicionais como “btdlg.js” (MD5: 0f5404aa252f28c61b08390d52b7a054) permitem logins do WordPress de força bruta usando palavras de origem da Wikipedia, pesquisas do Google/Bing por alvos e postagens XML-RPC para criar entradas de teste, registrando sucessos em C2 com comandos “GOOD”.
Outra variante, “assembly.js” (MD5: 100620a913f0e0a538b115dbace78589), detecta VMs, verifica extensões de navegador em busca de carteiras (por exemplo, Chrome, Brave) e oferece suporte a comandos KILL para autoexclusão.
De acordo com o relatório, O script “liame.js” (MD5: eb54c2ff2f62da5d2295ab96eb8d8843) coleta e-mails de domínios por meio de análise de HTML, desduplicando-os e exfiltrando-os para campanhas de spam, usando termos ofuscados como “Liame” (e-mail para trás).
De outubro de 2024 a julho de 2025, a Efimer impactou 5.015 usuários da Kaspersky, atingindo o pico no Brasil (1.476), seguido pela Índia, Espanha, Rússia, Itália e Alemanha. A proteção requer evitar torrents/e-mails suspeitos, senhas fortes, 2FA e antivírus atualizado.
Indicadores de Comprometimento (IOC)
| Tipo | Indicador | Descrição |
|---|---|---|
| Hash | 39FA36B9BFCF6FD4388EB586E2798D1A | Exigência.wsf |
| Hash | 5ba59f9e6431017277db39ed5994d363 | controller.js |
| Hash | 442ab067bf78067f5db5d515897db15c | xmpeg_player.exe |
| Hash | 16057e720be5f29e5b02061520068101 | xmpeg_player.exe |
| Hash | 627dc31da795b9ab4b8de8ee58fbf952 | ntdlg.js |
| Hash | 0f5404aa252f28c61b08390d52b7a054 | btdlg.js |
| Hash | eb54c2ff2f62da5d2295ab96eb8d8843 | liame.js |
| Hash | 100620a913f0e0a538b115dbace78589 | assembly.js |
| Hash | b405a61195aa82a37dc1cca0b0e7d6c1 | btdlg.js |
| Hash | 5d132fb6ec6fac12f01687f2c0375353 | ntdlg.exe (Tor) |
| URL | hxxps://lovetahq[.]com/sinners-2025-torent-file/ | Site comprometido |
| URL | hxxps://lovetahq[.]com/wp-content/uploads/2025/04/movie_39055_xmpg.zip | Arquivo malicioso |
| C2 | hxxp://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]cebola | Servidor de comandos |
| C2 | hxxp://he5vnov645txpcv57el2theky2elesn24ebvgwfoewlpftksxp4fnxad[.]cebola | Servidor de comandos |
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIn, &Xpara obter atualizações instantâneas!