Gli esperti di Kaspersky hanno individuato una campagna malware che prende di mira gli utenti aziendali con Efimer, un trojan in grado di sostituire gli indirizzi dei wallet e quindi rubare le criptovalute. Le vittime si trovano principalmente in Brasile, ma ai primi posti c’è anche l’Italia.
Descrizione degli attacchi con Efimer
Kaspersky ha rilevato oltre 5.000 vittime tra ottobre 2024 e giugno 2025. La maggioranza di esse (circa 1.500) si trova in Brasile. Le altre sono in India, Spagna, Russia, Italia e Germania. La versione iniziale di Efimer è stata distribuita tramite siti WordPress compromessi. Dopo aver trovato la password di amministratore, i cybercriminali pubblicano post con link a file torrent che dovrebbero consentire il download di copie pirata di film recenti.
Al termine del download, l’ignara vittima trova sul computer un file XMPEG che deve essere aperto con il media player presente nella stessa directory. In realtà il player è l’installer di Efimer. Il trojan viene copiato su disco insieme ad uno script PowerShell che crea la persistenza (esecuzione del malware all’avvio) e aggiunge un’esclusione a Microsoft Defender.
La versione più recente viene distribuita tramite phishing. L’email sembra provenire da uno studio legale che avvisa il destinatario di violazione del copyright con il nome del dominio. Tutti i dettagli sono contenuti nel file ZIP allegato. Dopo aver estratto l’archivio viene copiato su disco un file WSF. Se aperto viene mostrato un falso messaggio di errore ed eseguito Efimer, insieme ad un proxy client Tor.
Il trojan legge gli appunti di Windows (clipboard) per cercare gli indirizzi e le seed phrase dei wallet di criptovalute. Se trovati vengono inviati al server C2C (command and control) tramite Tor. L’indirizzo del wallet viene sostituito con quello dei cybercriminali, ai quali l’ignara vittima invierà le criptovalute (Bitcoin, Monero, Ethereum, Solana e altre).
Gli esperti di Kaspersky consigliano di non scaricare file torrent da fonti sconosciute, verificare il mittente dell’email, usare password manager per conservare le seed phrase, attivare l’autenticazione in due fattori per i wallet e non cliccare su link o allegati sospetti.
