"Лаборатория Касперского" нашла в РФ крадущий деньги и пароли вирус Efimer

В России зафиксирован всплеск атак с использованием нового троянца Efimer, способного красть финансовые средства, подменять криптокошельки и собирать пароли к сайтам. Об этом "Газете.Ru" сообщили в пресс-службе "Лаборатории Касперского".

По данным экспертов компании, основное назначение вредоносной программы – хищение и подмена криптокошельков, однако с помощью дополнительных скриптов она также может осуществлять подбор паролей к WordPress-сайтам и собирать базы электронных адресов для дальнейшей рассылки вредоносных писем.

Попытки таких атак отмечены в нескольких странах, включая Россию.

Кампания по распространению Efimer отличается тем, что злоумышленники атакуют как частных, так и корпоративных пользователей. Для рядовых пользователей в качестве приманки используются торрент-файлы, маскирующиеся под популярные фильмы, тогда как для компаний рассылаются фишинговые письма. Первые версии этого троянца появились, предположительно, в октябре 2024 года и распространялись через взломанные WordPress-сайты. Эта схема продолжает использоваться до сих пор, но летом 2025 года злоумышленники начали активно рассылать троянец и по электронной почте.

Для распространения через WordPress-сайты злоумышленники ищут ресурсы с низкой степенью защиты, подбирают пароли, а затем публикуют на них сообщения с предложением скачать недавно вышедшие фильмы. В сообщениях содержатся ссылки на запароленные архивы с торрент-файлами, внутри которых вредоносное ПО маскируется под обычный проигрыватель.

В июне 2025 года специалисты "Лаборатории Касперского" выявили новую волну распространения троянца через корпоративные почтовые адреса. Жертвой может стать как небольшой, так и крупный бизнес. Фишинговые письма содержат ложные утверждения о том, что юристы некой корпорации обнаружили в названии домена получателя слова или фразы, якобы уже зарегистрированные этой организацией.

Злоумышленники предлагают не подавать в суд, если получатель сменит название домена, или даже готовы его выкупить. При этом сам домен в письме не указывается. Детали нарушения и предложения по выкупу якобы можно узнать, открыв вложение. Однако к письму прикреплен запароленный архив, содержащий вредоносный файл. При его запуске компьютер заражается, а пользователь видит лишь уведомление об ошибке.

Продукты "Лаборатории Касперского" успешно детектируют это вредоносное ПО, идентифицируя его под различными модификациями Efimer, связанными с функциями дроппера, банковского троянца и шпиона, и защищают пользователей от него.