Pesquisadores identificaram uma nova ameaça chamada Efimer Trojan, um malware especializado em roubo de ativos digitais que tem se espalhado por campanhas de phishing e sites WordPress comprometidos. A praga altera endereços de carteiras de criptomoedas copiados para a área de transferência, redirecionando transações para contas controladas por criminosos. Desde sua detecção, o Efimer já afetou mais de 5.000 usuários em diversos países, com destaque para o Brasil, que registra cerca de 1.500 vítimas. Índia, Espanha, Rússia, Itália e Alemanha também figuram entre os principais alvos.
A amplitude geográfica indica que a campanha tem escala global e múltiplos vetores de distribuição. No ambiente corporativo, o malware é disseminado principalmente por e-mails de phishing que se passam por notificações de escritórios de advocacia. As mensagens alegam possíveis processos judiciais relacionados a domínios de internet e incluem anexos supostamente contendo detalhes legais. Ao abrir o arquivo, o usuário acaba executando o Efimer sem perceber. Entre usuários domésticos, a ameaça se infiltra por meio de sites WordPress invadidos, onde arquivos maliciosos são oferecidos como torrents de filmes populares. O download e a execução manual desses arquivos ativam a instalação do trojan.
Após infectar o sistema, o Efimer realiza alterações para evitar detecção, como se adicionar às exceções do antivírus e instalar um cliente Tor para comunicação com seu servidor de comando. Ele então monitora a área de transferência e, sempre que detecta um endereço de carteira de criptomoeda, substitui-o por um endereço controlado pelo invasor. Além dessa função principal, o malware também é capaz de capturar frases de recuperação (seed phrases) usadas em carteiras digitais. Essas informações são enviadas ao servidor de comando, permitindo que os criminosos tomem controle total dos ativos da vítima. A campanha ainda utiliza scripts adicionais que tentam comprometer outros sites WordPress por força bruta, coletar endereços de e-mail para ataques futuros e ampliar a disseminação do trojan. Essa automação torna o ciclo de infecção contínuo e de difícil contenção.
