Novi trojanac Efimer se širi preko hakovanih WordPress sajtova i imejlova

Opisi virusa, 11.08.2025, 12:30 PM

Istraživači iz kompanije Kaspersky otkrili su novog trojanca nazvanog Efimer, koji zamenjuje adrese kripto novčanika direktno u clipboardu. Jedan klik je dovoljan da vaš novac završi u novčaniku hakera.

Jedan od glavnih distributivnih kanala Efimera su WordPress veb sajtovi. Prevaranti iskorišćavaju slabo zaštićene sajtove i objavljuju postove sa zaraženim torent fajlovima.

Kada korisnik preuzme torent fajl sa zaraženog sajta, dobija folder koji sadrži video fajl sa ekstenzijom .xmpeg. Korisnik ne može da otvori fajl u tom formatu bez „specijalnog medija plejera“, koji je u folderu, a taj plejer će instalirati trojanca.

Od nedavno Efimer je počeo da se širi i putem fišing imejlova. Vlasnici veb sajtova i domena dobijaju imejlove, navodno od advokata, u kojima je obaveštenje o kršenju autorskih prava i zahtev za uklanjanje sadržaja. U imejlovima se navodi da su svi detalji u prilogu, što je zapravo mesto gde se trojanac krije. Čak i ako sami ne posedujete veb sajt, i dalje možete dobijati spam imejlove sa prikačenim Efimerom. Hakeri prikupljaju imejl adrese korisnika sa WordPress sajtova koje su prethodno kompromitovali. Dakle, ako dobijete imejl poput ovog, šta god da radite - ne otvarajte prilog.

Kada Efimer zarazi uređaj, jedna od njegovih skripti se dodaje na listu izuzetaka Windows Defender-a - pod uslovom da korisnik ima administratorska prava. Malver zatim instalira Tor za komunikaciju sa komandnim i kontrolnim serverom.

Efimer pristupa cliboardu i traži seed frazu, što je jedinstveni niz reči koji omogućava pristup kripto novčaniku. Trojanac čuva ovu frazu i šalje je na server napadača. Ako pronađe i adresu kripto novčanika u cliboardu, Efimer je diskretno zamenjuje lažnom. Da ne bi izazivao sumnju, lažna adresa je često veoma slična originalnoj. Krajnji rezultat je da se kriptovaluta krišom šalje sajber kriminalcima.

Novčanici koji sadrže Bitkoin, Ethereum, Monero, Tron ili Solanu su prvenstveno u opasnosti, ali i vlasnici drugih kriptovaluta ne bi trebalo da se opuštaju. Programeri Efimera redovno ažuriraju malver dodavanjem novih skripti i proširivanjem podrške za više kripto novčanika.

Trojanac napada korisnike Windowsa širom sveta. Trenutno je malver najaktivniji u Brazilu, Rusiji, Indiji, Španiji, Nemačkoj i Italiji. Korisnici kripto novčanika, vlasnici WordPress sajtova i oni koji često preuzimaju filmove, igre i torent fajlove sa interneta trebalo bi da budu posebno oprezni.

Kako se zaštititi od Efimera?

Koristite pouzdan antivirus, jedinstvene i jake lozinke, menadžer lozinki i dvofaktorsku autentifikaciju za prijavu na kripto novčanike i veb sajtove. Izbegavajte preuzimanje filmova ili igara sa neproverenih sajtova. Čak i ako odlučite da rizikujete, obratite pažnju na ekstenzije fajlova. Video definitivno neće imati ekstenziju .exe ili .xmpeg.