Chiến dịch phân phối mã độc Efimer đang lan rộng toàn cầu, chủ yếu tập trung vào việc đánh cắp tiền điện tử thông qua một trojan-dropper tinh vi. Được phát hiện lần đầu vào tháng 6 năm 2025, phần mềm độc hại này giả mạo các thư tín pháp lý từ các công ty lớn, cáo buộc người nhận vi phạm tên miền và đính kèm các tệp lưu trữ độc hại để triển khai stealer Efimer.

Được đặt tên theo một bình luận trong script đã giải mã của nó, mã độc Efimer đã hoạt động tích cực từ tháng 10 năm 2024. Ban đầu, nó lây lan thông qua các trang web WordPress bị xâm nhập trước khi mở rộng sang hình thức lừa đảo qua email (phishing) và mồi nhử dựa trên torrent. Cách tiếp cận đa vector này đã ảnh hưởng đến hơn 5.000 người dùng trên toàn cầu tính đến tháng 7 năm 2025.

Sự lây lan và các vector tấn công của mã độc Efimer

Brazil ghi nhận số lượng ca nhiễm cao nhất với 1.476 trường hợp, tiếp theo là Ấn Độ, Tây Ban Nha, Nga, Ý và Đức. Sự phân bố rộng rãi này nhấn mạnh rủi ro bảo mật đáng endeavors mà mã độc Efimer gây ra.

Phân phối qua Email Phishing

Chiến thuật phân phối qua email của mã độc Efimer sử dụng các tin nhắn lừa đảo tuyên bố vi phạm nhãn hiệu. Các email này không đề cập đến một tên miền cụ thể, mà thay vào đó, thúc giục nạn nhân mở một tệp đính kèm ZIP có tên như “Demand_984175”.

MD5 của tệp đính kèm này là: e337c507a4866169a7394d718bc19df9.

Tệp ZIP này chứa một tệp lưu trữ được bảo vệ bằng mật khẩu và một tệp mật khẩu lừa đảo. Tệp mật khẩu sử dụng kỹ thuật che giấu Unicode (ví dụ: U+1D5E6 cho ký tự ‘S’) nhằm mục đích né tránh các công cụ giải nén tự động, khiến quá trình phân tích trở nên khó khăn hơn.

Lây nhiễm qua WordPress và Torrent

Trước khi chuyển sang email phishing, mã độc Efimer ban đầu được phát tán qua các trang web WordPress bị xâm nhập. Kẻ tấn công vũ khí hóa các trang này để phục vụ mục đích phát tán mã độc. Các trang web bị xâm nhập này thường lưu trữ các bài đăng giả mạo về tải phim, dẫn liên kết đến các torrent được bảo vệ bằng mật khẩu. Các tệp torrent này cung cấp mã độc Efimer dưới dạng trình phát XMPEG (ví dụ: xmpeg_player.exe).

MD5 của biến thể xmpeg_player.exe là: 442ab067bf78067f5db5d515897db15c.

Cơ chế hoạt động và kỹ thuật của Efimer

Các phát hiện của Kaspersky đối với script này bao gồm:

• HEUR:Trojan-Dropper.Script.Efimer: Cho thấy khả năng thả tải trọng.
• HEUR:Trojan-Banker.Script.Efimer: Thể hiện vai trò đánh cắp thông tin ngân hàng.
• HEUR:Trojan.Script.Efimer: Hành vi trojan chung.
• HEUR:Trojan-Spy.Script.Efimer.gen: Chức năng gián điệp.

Quy trình cài đặt và duy trì quyền truy cập

Sau khi được giải nén, tệp “Requirement.wsf” được tiết lộ. Khi thực thi, script này kiểm tra quyền quản trị viên. Nếu có quyền, nó sẽ cài đặt thành phần cốt lõi của mã độc Efimer vào đường dẫn sau:

C:UsersPubliccontroller

Để duy trì sự ẩn mình và tránh bị phát hiện, mã độc này thêm các loại trừ vào Windows Defender cho các đường dẫn cụ thể, bao gồm thư mục controller, chính script đó, và các tiến trình hệ thống như exe và cmd.exe.

Tùy thuộc vào đặc quyền có được, mã độc sẽ thiết lập cơ chế duy trì quyền truy cập. Nó có thể lên lịch các tác vụ qua tệp controller.xml hoặc đặt các khóa tự khởi động (autorun) trong Registry. Sau đó, nó hiển thị một thông báo lỗi giả mạo nhằm đánh lừa người dùng, khiến họ nghĩ rằng có lỗi hệ thống thay vì một cuộc tấn công mạng đang diễn ra.

Chức năng ClipBanker và đánh cắp tiền điện tử

Mã độc Efimer hoạt động như một Trojan ClipBanker. Chức năng chính của nó là giám sát clipboard (bộ nhớ tạm) của hệ thống. Khi phát hiện một địa chỉ ví tiền điện tử được sao chép vào clipboard, nó sẽ ngay lập tức thay thế địa chỉ đó bằng địa chỉ ví của kẻ tấn công.

Các loại tiền điện tử mục tiêu bao gồm:

• Bitcoin (BTC)
• Ethereum (ETH)
• Monero (XMR)
• Tron (TRX)
• Solana (SOL)

Để đảm bảo sự thay thế đáng tin cậy và khó phát hiện, mã độc sử dụng các mẫu biểu thức chính quy (regex) phức tạp. Nó thực hiện các đối sánh một phần, ví dụ như hai ký tự đầu tiên cho các ví Bitcoin ngắn hoặc ký tự cuối cùng cho các ví có tiền tố bc1q-, nhằm duy trì tính hợp lý và giảm thiểu khả năng người dùng nhận ra sự thay đổi.

Giao tiếp với máy chủ Điều khiển & Chỉ huy (C2)

Việc giao tiếp với máy chủ Điều khiển & Chỉ huy (C2) của mã độc Efimer được thực hiện thông qua một proxy Tor. Proxy này được tải xuống từ các URL được mã hóa cứng trên các trang web bị xâm nhập. Mã độc sử dụng công cụ curl để kết nối qua localhost:9050 tới các điểm cuối .onion ẩn danh, ví dụ như:

cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion/route.php

Script này ping C2 cứ sau 30 phút với một GUID (ví dụ: vs1a-1a2b) duy nhất để báo cáo tình trạng và nhận lệnh. Các lệnh nhận được từ C2 bao gồm EVAL để thực thi mã từ xa, cho phép kẻ tấn công chạy bất kỳ lệnh nào trên hệ thống bị nhiễm, và xử lý việc đánh cắp cụm từ hạt giống (seed phrase) của ví tiền điện tử.

Mã độc cũng có khả năng chụp ảnh màn hình bằng PowerShell sau khi phát hiện các từ khóa liên quan đến cụm từ ghi nhớ (mnemonics). Các ảnh chụp này được lưu tạm thời và tải lên qua FileToOnion tới các đường dẫn như /recvf.php. Ngoài việc đánh cắp thông tin, mã độc Efimer còn mở rộng khả năng thông qua các script phụ trợ nhằm mục đích tự lây lan.

Các công cụ và mô-đun phụ trợ của mã độc Efimer

Chiến dịch tấn công mạng sử dụng nhiều biến thể và mô-đun phụ trợ khác nhau để tối đa hóa hiệu quả:

Mô-đun tấn công WordPress (btdlg.js)

Một biến thể của script, btdlg.js, có MD5 là: 0f5404aa252f28c61b08390d52b7a054.

Mô-đun này được thiết kế để tấn công vét cạn (brute-force) thông tin đăng nhập quản trị viên của các trang WordPress. Nó sử dụng các danh sách từ khóa (wordlists) được thu thập từ Wikipedia và kết quả tìm kiếm từ Google/Bing để xác định mục tiêu. Quá trình tấn công được thực hiện thông qua các bài đăng XML-RPC để tạo các mục kiểm tra trên trang WordPress.

Script btdlg.js có thể quản lý lên đến 20 tiến trình đồng thời, khóa các đối tượng miền để tránh trùng lặp. Khi thành công trong việc chiếm quyền, nó sẽ báo cáo về C2 bằng các lệnh GOOD.

Mô-đun thu thập email (liame.js)

Một script khác, liame.js, có MD5 là: eb54c2ff2f62da5d2295ab96eb8d8843.

Mô-đun này được sử dụng để thu thập địa chỉ email từ các tên miền được chỉ định. Nó thực hiện bằng cách phân tích cú pháp HTML để tìm các liên kết mailto, sau đó loại bỏ các địa chỉ trùng lặp và xuất chúng ra ngoài để sử dụng cho các chiến dịch spam tiếp theo.

Mô-đun mở rộng và lẩn tránh (assembly.js & ntdlg.js)

Một biến thể tên assembly.js (MD5: 100620a913f0e0a538b115dbace78589) bổ sung khả năng phát hiện máy ảo (VM detection) và quét ví tiền điện tử trong các tiện ích mở rộng của trình duyệt. Nó cũng bao gồm các lệnh như KILL để tự xóa, giúp kẻ tấn công loại bỏ dấu vết.

Một phiên bản mã độc Efimer thay thế, được phân phối qua torrent, sử dụng script ntdlg.js (MD5: 627dc31da795b9ab4b8de8ee58fbf952). Phiên bản này trích xuất Tor dưới dạng ntdlg.exe và bổ sung các loại trừ cho Windows Defender thông qua PowerShell, tương tự như cơ chế ban đầu.

Theo báo cáo từ Securelist của Kaspersky, mã độc này tránh bị phát hiện bởi Task Manager bằng cách sử dụng các truy vấn WMI và xử lý các tệp hạt giống (seed files) một cách đáng tin cậy để đảm bảo quá trình xuất dữ liệu thành công. Tìm hiểu thêm về Trojan Efimer trên Securelist.

Cơ sở hạ tầng này cho phép kẻ tấn công xây dựng các mạng botnet để thực hiện các cuộc xâm nhập tiếp theo.

Chỉ số Nhận diện Tấn công (IOCs)

Các chỉ số nhận diện tấn công (IOCs) liên quan đến chiến dịch mã độc Efimer bao gồm:

• MD5 của tệp đính kèm ZIP trong email phishing:e337c507a4866169a7394d718bc19df9 (Demand_984175)
• MD5 của biến thể XMPEG player từ torrent:442ab067bf78067f5db5d515897db15c (xmpeg_player.exe)
• MD5 của script tấn công WordPress:0f5404aa252f28c61b08390d52b7a054 (btdlg.js)
• MD5 của script thu thập email:eb54c2ff2f62da5d2295ab96eb8d8843 (liame.js)
• MD5 của script mở rộng/lẩn tránh:100620a913f0e0a538b115dbace78589 (assembly.js)
• MD5 của biến thể Efimer từ torrent:627dc31da795b9ab4b8de8ee58fbf952 (ntdlg.js)
• Các tên phát hiện của Kaspersky:
  • HEUR:Trojan-Dropper.Script.Efimer
  • HEUR:Trojan-Banker.Script.Efimer
  • HEUR:Trojan.Script.Efimer
  • HEUR:Trojan-Spy.Script.Efimer.gen
• Đường dẫn cài đặt chính:C:UsersPubliccontroller
• Ví dụ điểm cuối C2 (Tor):cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion/route.php

Chiến lược phòng chống và giảm thiểu rủi ro bảo mật mạng

Để bảo vệ hệ thống khỏi các mối đe dọa như mã độc Efimer và tăng cường an toàn thông tin, các biện pháp sau đây là cần thiết:

• Sử dụng mật khẩu mạnh và duy nhất cho tất cả các tài khoản, đặc biệt là trên các trang web WordPress.
• Kích hoạt xác thực hai yếu tố (2FA) bất cứ khi nào có thể, cung cấp thêm một lớp bảo vệ chống lại việc chiếm quyền điều khiển.
• Đảm bảo phần mềm chống virus (antivirus) và các giải pháp bảo mật luôn được cập nhật lên phiên bản mới nhất, bao gồm cả chữ ký nhận diện mã độc.
• Đối với quản trị viên WordPress, thường xuyên cập nhật bản vá bảo mật cho lõi WordPress, các plugin và theme. Thực hiện kiểm tra định kỳ để phát hiện dấu hiệu xâm nhập.
• Người dùng cuối cần hết sức cảnh giác với các tệp torrent đáng ngờ hoặc các nguồn tải xuống không rõ ràng.
• Luôn xác minh người gửi email, đặc biệt là những email yêu cầu hành động khẩn cấp hoặc đính kèm các tệp lạ. Tránh mở các tệp đính kèm hoặc nhấp vào liên kết từ các nguồn không đáng tin cậy.