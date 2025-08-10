В России зафиксирован всплеск атак с использованием нового троянца Efimer, способного красть финансовые средства, подменять криптокошельки и собирать пароли к сайтам. Об этом «Газете.Ru» сообщили в пресс-службе «Лаборатории Касперского».

По данным экспертов компании, основное назначение вредоносной программы – хищение и подмена криптокошельков, однако с помощью дополнительных скриптов она также может осуществлять подбор паролей к WordPress-сайтам и собирать базы электронных адресов для дальнейшей рассылки вредоносных писем. Попытки таких атак отмечены в нескольких странах, включая Россию.

Кампания по распространению Efimer отличается тем, что злоумышленники атакуют как частных, так и корпоративных пользователей. Для рядовых пользователей в качестве приманки используются торрент-файлы, маскирующиеся под популярные фильмы, тогда как для компаний рассылаются фишинговые письма. Первые версии этого троянца появились, предположительно, в октябре 2024 года и распространялись через взломанные WordPress-сайты. Эта схема продолжает использоваться до сих пор, но летом 2025 года злоумышленники начали активно рассылать троянец и по электронной почте.

Для распространения через WordPress-сайты злоумышленники ищут ресурсы с низкой степенью защиты, подбирают пароли, а затем публикуют на них сообщения с предложением скачать недавно вышедшие фильмы. В сообщениях содержатся ссылки на запароленные архивы с торрент-файлами, внутри которых вредоносное ПО маскируется под обычный проигрыватель.

В июне 2025 года специалисты «Лаборатории Касперского» выявили новую волну распространения троянца через корпоративные почтовые адреса. Жертвой может стать как небольшой, так и крупный бизнес. Фишинговые письма содержат ложные утверждения о том, что юристы некой корпорации обнаружили в названии домена получателя слова или фразы, якобы уже зарегистрированные этой организацией. Злоумышленники предлагают не подавать в суд, если получатель сменит название домена, или даже готовы его выкупить. При этом сам домен в письме не указывается. Детали нарушения и предложения по выкупу якобы можно узнать, открыв вложение. Однако к письму прикреплен запароленный архив, содержащий вредоносный файл. При его запуске компьютер заражается, а пользователь видит лишь уведомление об ошибке.

Продукты «Лаборатории Касперского» успешно детектируют это вредоносное ПО, идентифицируя его под различными модификациями Efimer, связанными с функциями дроппера, банковского троянца и шпиона, и защищают пользователей от него.