Исследователи выявили новый вредоносный софт под названием Efimer, который предназначен для кражи криптовалюты. Он перехватывает содержимое буфера обмена, заменяя адреса криптокошельков на подставные, визуально схожие с настоящими. В результате переводы средств незаметно для владельца уходят на счета киберпреступников.
По данным специалистов, одним из основных каналов распространения Efimer стали взломанные сайты, работающие на системе управления контентом WordPress. Популярность этой платформы, используемой частными блогерами, малым бизнесом, СМИ и крупными компаниями, привлекает злоумышленников, которые размещают на скомпрометированных ресурсах публикации с вредоносными торрентами. Пользователь, скачивая такой файл, получает архив с элементом, замаскированным под видео с расширением .xmpeg, и «медиаплеером» для его открытия. На деле этот «плеер» является установщиком трояна.
Распространение Efimer также осуществляется через фишинговые письма. Владельцам доменов и сайтов приходят сообщения, оформленные от имени юристов, с требованиями удалить материалы, якобы нарушающие авторские права. Вложение в таких письмах содержит сам троян. Эксперты отмечают, что адреса электронной почты для рассылки злоумышленники получают с уже взломанных WordPress-сайтов, поэтому подобные письма могут приходить даже тем, кто не владеет собственным ресурсом.
После установки на устройство скрипты Efimer, при наличии прав администратора, добавляют вредонос в список исключений Windows Defender, устанавливают клиент Tor и настраивают соединение с командным сервером. Троян анализирует буфер обмена, выявляет сид-фразы и отправляет их операторам. Если обнаруживается адрес криптокошелька, он заменяется на почти идентичный подставной, что позволяет киберпреступникам выводить криптовалюту незаметно для владельца.