卡巴斯基实验室近日披露了一起复杂的多向攻击行动,攻击者利用假冒法律威胁、被入侵的 WordPress 网站以及恶意种子文件,投递一款名为 Efimer 的加密货币窃取型木马。该木马最早于 2024 年底被发现,已演化为模块化威胁,不仅能窃取资金、收集账号凭证,还能对存在漏洞的网站发动暴力破解攻击。
2025 年 6 月,卡巴斯基研究人员发现了一轮“律师函钓鱼”式的群发邮件攻击,攻击者冒充某大型企业的律师,声称收件人的域名侵犯了商标权,并威胁将采取法律行动,但同时给出一个“退路”——更改域名或将其出售。邮件附件为一个 ZIP 压缩包,号称包含争议详情,实则内含伪装成 Requirement.wsf 文件的 Efimer 木马。
为规避检测,攻击者甚至在密码文件名中使用 Unicode 相似字符,增加自动化分析工具识别的难度。一旦执行,该脚本会检测管理员权限、修改 Windows Defender 排除项,并安装核心载荷——一个专注加密货币劫持的 ClipBanker 木马。
Efimer 主要通过“剪贴板劫持”技术,将用户复制的加密货币钱包地址替换为攻击者控制的地址。同时,它会嗅探助记词(mnemonic phrase)并替换复制的加密钱包地址,确保受害者在交易时不易察觉。
如果任务管理器被打开,木马会立刻停止运行以规避分析;否则,它会安装 Tor 代理客户端,与其 C2 服务器通信,每隔 30 分钟上传窃取的助记词、截图和钱包数据,以保持隐蔽性。
针对不同加密货币,Efimer 定制了差异化策略:
· 比特币(BTC):替换时保留部分原地址以降低怀疑;
· 以太坊(ETH):直接替换 0x 前缀地址为攻击者控制的地址;
· 门罗币(XMR)、波场(TRX)、索拉纳(SOL):使用预设地址,并尽量减少匹配要求以绕过肉眼检查。
Efimer 还通过入侵的 WordPress 站点传播,攻击者在这些站点发布虚假的电影下载链接,引导用户下载受密码保护的压缩包,内含伪装成媒体播放器的恶意 EXE 文件,执行后同样会安装木马和 Tor 代理客户端。
卡巴斯基指出,攻击者会主动搜寻安全防护薄弱的网站,通过暴力破解获取权限,然后发布“热门电影下载”诱饵链接。这不仅是投递木马的渠道,也为后续大规模暴力破解活动提供跳板。
Efimer 的模块化架构支持额外脚本扩展:
1. btdlg.js:暴力破解工具,可通过 Google 和 Bing 搜索目标域名,并利用 XML-RPC 接口尝试登录;
2. Liame:邮件收集工具,从指定域名收集邮箱地址并回传,可能用于后续垃圾邮件或钓鱼攻击;
3. assembly.js:增强版变种,增加虚拟机检测功能,并深入搜索加密钱包信息,涵盖浏览器扩展与钱包应用,数据会被发送至独立的 C2 基础设施。
2024 年 10 月至 2025 年 7 月间,Efimer 共感染了 5,015 名卡巴斯基用户,其中巴西受害者数量最多(1,476 人)。
卡巴斯基警告称,Efimer 结合了隐蔽性、适应性和多向投递能力,对个人用户和网站管理员,尤其是在加密货币生态中,构成了严重威胁。
发表评论
您还未登录,请先登录。
登录