Selon Securelist (Kaspersky), des chercheurs ont identifié « Efimer », un voleur de cryptomonnaies de type ClipBanker, actif dans une campagne ayant touché plus de 5 000 utilisateurs dans le monde, avec une forte concentration au Brésil.

Le malware se propage via des campagnes d’e-mails usurpant des menaces juridiques et via des sites WordPress compromis proposant des films piratés. Son objectif principal est le vol de cryptomonnaies en remplaçant, dans le presse-papiers, les adresses des portefeuilles et même des phrases mnémoniques.

Sur le plan technique, Efimer est composé d’un installateur WSF qui assure la persistance et télécharge un proxy Tor, d’un contrôleur principal en JavaScript qui surveille le presse-papiers, et de scripts additionnels dédiés au brute force de sites WordPress et à la collecte d’adresses e‑mail.

Le malware utilise des portefeuilles de remplacement codés en dur pour le Bitcoin, l’Ethereum, le Monero, le Tron et le Solana, et s’appuie sur la correspondance de motifs de caractères pour éviter la détection. Il communique avec ses serveurs C2 via le réseau Tor toutes les 30 minutes et peut exécuter des commandes JavaScript à distance.

Efimer intègre des mécanismes d’évasion (détection de VM, techniques d’exclusion dans Windows Defender) et des capacités multi‑threads de brute force contre WordPress via les endpoints XML‑RPC et REST API, contribuant à une infrastructure malveillante auto‑entretenue.

• TTPs (extraits):

  • Remplacement d’adresses crypto/phrases mnémoniques dans le presse‑papiers (ClipBanker)
  • C2 via Tor avec balises toutes les 30 minutes
  • Exécution de commandes JS à distance
  • Évasion: détection de machines virtuelles, exclusions Windows Defender
  • Propagation/Monétisation: brute force WordPress (XML‑RPC, REST API), collecte d’adresses e‑mail

Type d’article: analyse de menace. But principal: documenter le fonctionnement, les vecteurs et l’impact de la campagne Efimer.

🧠 TTPs et IOCs détectés

TTPs

[‘T1193: Spearphishing Attachment’, ‘T1190: Exploit Public-Facing Application’, ‘T1115: Clipboard Data’, ‘T1090.003: Proxy: Multi-hop Proxy’, ‘T1105: Ingress Tool Transfer’, ‘T1059.007: Command and Scripting Interpreter: JavaScript’, ‘T1071.001: Application Layer Protocol: Web Protocols’, ‘T1027: Obfuscated Files or Information’, ‘T1497.001: Virtualization/Sandbox Evasion: System Checks’, ‘T1562.001: Impair Defenses: Disable or Modify Tools’, ‘T1110.001: Brute Force: Password Guessing’, ‘T1589.001: Gather Victim Identity Information: Email Addresses’]

🔗 Source originale : https://securelist.com/efimer-trojan/117148/

🖴 Archive : https://web.archive.org/web/20250808142740/https://securelist.com/efimer-trojan/117148/