Trong bối cảnh mối đe dọa mạng ngày càng gia tăng, mã độc Efimer đã xuất hiện như một biến thể mạnh mẽ của dòng ClipBanker. Loại mã độc này được thiết kế chủ yếu để đánh cắp tiền điện tử thông qua việc chặn và thay thế địa chỉ ví trong bộ nhớ tạm (clipboard) của nạn nhân. Phát hiện lần đầu vào tháng 10 năm 2024, Efimer – được đặt tên theo một bình luận trong script đã giải mã của nó – đã phát triển thành một mối đe dọa đa diện, lây lan qua các trang WordPress bị xâm nhập, các tệp torrent độc hại và các chiến dịch email lừa đảo có chủ đích.

Phân Tích Kỹ Thuật Sâu Về Mã Độc Efimer

Nguồn Gốc và Phương Thức Lây Nhiễm Ban Đầu

Các nhà nghiên cứu của Kaspersky đã phát hiện một chiến dịch gửi thư hàng loạt vào tháng 6 năm 2025. Trong chiến dịch này, các email giả mạo luật sư từ các công ty lớn, cáo buộc sai người nhận vi phạm tên miền liên quan đến nhãn hiệu. Những email lừa đảo (phishing) này không nêu chi tiết tên miền cụ thể.

Tuy nhiên, chúng đính kèm một kho lưu trữ ZIP có tên “Demand_984175” (MD5: e337c507a4866169a7394d718bc19df9). Tệp này chứa một kho lưu trữ được bảo vệ bằng mật khẩu lồng bên trong và một tệp mật khẩu lừa đảo sử dụng kỹ thuật che giấu Unicode (U+1D5E6) nhằm tránh các công cụ trích xuất tự động và phân tích sandbox.

Cơ Chế Khai Thác và Tấn Công Hệ Thống

Giải nén tệp ZIP sẽ tiết lộ “Requirement.wsf”, một tệp Windows Script File (WSF) khởi tạo quá trình lây nhiễm. Khi được thực thi, nó kiểm tra quyền quản trị bằng cách ghi một tệp tạm thời vào C:WindowsSystem32wsf_admin_test.tmp.

Nếu có đặc quyền quản trị, mã độc sẽ thực hiện các hành động sau:

• Loại trừ các đường dẫn như C:UsersPubliccontroller khỏi Windows Defender để tránh bị phát hiện và gỡ bỏ.
• Triển khai “controller.js” (script Efimer cốt lõi) và “controller.xml” vào hệ thống mục tiêu.
• Lên lịch các tác vụ để duy trì quyền truy cập (persistence) trên hệ thống bị nhiễm.

Đối với các trường hợp không có đặc quyền quản trị, mã độc Efimer sử dụng các khóa registry dưới HKCUSoftwareMicrosoftWindowsCurrentVersionRuncontroller để duy trì sự hiện diện và tự khởi động cùng hệ thống.

Sau đó, script hiển thị một thông báo lỗi giả mạo nhằm đánh lừa người dùng, khiến họ tin rằng có lỗi xảy ra. Trong khi đó, nó cài đặt một proxy Tor (ví dụ, từ các URL được mã hóa cứng như https://inpama[.]com/wp-content/plugins/XZorder/ntdlg.dat) để giao tiếp ẩn danh với máy chủ C2 (Command and Control) qua mạng Onion tại các địa chỉ như http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]onion/route.php.

Các Chức Năng Chính của Mã Độc Efimer

Vòng lặp chính của Efimer liên tục giám sát Task Manager nhằm né tránh bị phát hiện và ngăn chặn việc gỡ bỏ. Mã độc này gửi tín hiệu ping đến máy chủ C2 cứ sau 30 phút thông qua lệnh curl trên mạng Tor, và xử lý các lệnh từ C2.

Các lệnh này bao gồm EVAL (cho phép thực thi mã từ xa trên hệ thống nạn nhân) hoặc GUID (dùng để duy trì kết nối và xác nhận sự tồn tại của mã độc).

Chức năng cốt lõi của Efimer bao gồm:

• Quét clipboard để tìm các cụm từ hạt giống (mnemonic seed phrases) của ví tiền điện tử và lưu chúng vào một tệp “SEED” để trích xuất dữ liệu (exfiltration).
• Chụp ảnh màn hình định kỳ bằng PowerShell để thu thập ngữ cảnh về hoạt động của người dùng trên hệ thống bị nhiễm.
• Thay thế địa chỉ ví tiền điện tử của nạn nhân bằng địa chỉ do kẻ tấn công kiểm soát. Điều này áp dụng cho Bitcoin (bắt đầu bằng “1”, “3”, “bc1q”), Ethereum (“0x”), và Monero (“4” hoặc “8”). Mã độc đảm bảo các kết quả khớp một phần (ví dụ: khớp hai ký tự đầu của ví Bitcoin ngắn hoặc ba ký tự đầu của ví Ethereum) để tránh sự nghi ngờ của nạn nhân.

Chiến Dịch Phân Tán Qua Torrent và WordPress Bị Xâm Nhập

Ngoài email lừa đảo, sự phân tán của mã độc Efimer còn mở rộng đến các tệp torrent “gài bẫy” trên các trang WordPress bị hack. Các bài đăng trên blog này lôi kéo người dùng tải xuống phim giả mạo (ví dụ: “Sinners 2025” trên https://lovetahq[.]com), dẫn đến một thư mục XMPEG chứa tệp “xmpeg_player.exe” (MD5: 442ab067bf78067f5db5d515897db15c).

Tệp thực thi này sau đó giải nén “ntdlg.js” và các thành phần Tor, đồng thời thêm các ngoại lệ cho Windows Defender thông qua PowerShell để đảm bảo hoạt động không bị gián đoạn.

Các Biến Thể và Chức Năng Mở Rộng của Efimer

Efimer không chỉ giới hạn ở chức năng ClipBanker cơ bản mà còn sở hữu nhiều biến thể với các khả năng mở rộng, cho thấy sự phát triển liên tục của mối đe dọa mạng này:

• btdlg.js: Script này (MD5: 0f5404aa252f28c61b08390d52b7a054) được thiết kế để brute-force đăng nhập WordPress bằng cách sử dụng các từ lấy từ Wikipedia, tìm kiếm mục tiêu qua Google/Bing, và tạo các bài đăng kiểm thử thông qua XML-RPC. Các lần đăng nhập thành công được ghi lại và gửi về C2 với lệnh “GOOD”.
• assembly.js: Một biến thể khác (MD5: 100620a913f0e0a538b115dbace78589) có khả năng phát hiện môi trường máy ảo (VMs) để tránh bị phân tích. Nó cũng quét các tiện ích mở rộng trình duyệt để tìm ví tiền điện tử (ví dụ: Chrome, Brave), và hỗ trợ lệnh KILL để tự xóa khỏi hệ thống.
• liame.js: Script này (MD5: eb54c2ff2f62da5d2295ab96eb8d8843) thu thập email từ các miền thông qua phân tích cú pháp HTML, loại bỏ các email trùng lặp và trích xuất chúng cho các chiến dịch spam. Script này sử dụng các thuật ngữ bị che giấu như “Liame” (email viết ngược) để tránh bị phát hiện bởi các công cụ bảo mật thông thường.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Để hỗ trợ các nhà phân tích an ninh mạng trong việc phát hiện và ứng phó với tấn công mạng liên quan đến Efimer, dưới đây là các chỉ số thỏa hiệp quan trọng cần được giám sát:

• MD5 Hashes:
  • Demand_984175.zip: e337c507a4866169a7394d718bc19df9
  • xmpeg_player.exe: 442ab067bf78067f5db5d515897db15c
  • btdlg.js: 0f5404aa252f28c61b08390d52b7a054
  • assembly.js: 100620a913f0e0a538b115dbace78589
  • liame.js: eb54c2ff2f62da5d2295ab96eb8d8843
• Command and Control (C2) URLs/Domains:
  • C2 Over Tor: http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]onion/route.php
  • Tor Proxy Download URL: https://inpama[.]com/wp-content/plugins/XZorder/ntdlg.dat
  • Malicious WordPress Site (Torrent Source): https://lovetahq[.]com
• Filenames/Paths:
  • Temporary admin test file: C:WindowsSystem32wsf_admin_test.tmp
  • Windows Defender exclusion path: C:UsersPubliccontroller
  • Core script: controller.js
  • Configuration file: controller.xml
  • Initial infection script: Requirement.wsf
  • Extracted Tor component/script: ntdlg.js
• Registry Key (for persistence without admin):
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRuncontroller

Thống Kê Ảnh Hưởng và Biện Pháp Bảo Vệ

Theo báo cáo, từ tháng 10 năm 2024 đến tháng 7 năm 2025, mã độc Efimer đã ảnh hưởng đến 5.015 người dùng Kaspersky trên toàn cầu. Đỉnh điểm số lượng nạn nhân được ghi nhận ở Brazil (1.476 trường hợp), tiếp theo là Ấn Độ, Tây Ban Nha, Nga, Ý và Đức.

Để bảo vệ khỏi loại mã độc tinh vi này, người dùng cần đặc biệt cảnh giác và áp dụng các biện pháp bảo mật cơ bản nhưng hiệu quả:

• Tránh tải xuống và mở các tệp torrent hoặc email đáng ngờ từ các nguồn không xác định.
• Sử dụng mật khẩu mạnh và duy nhất cho tất cả các tài khoản trực tuyến.
• Kích hoạt xác thực hai yếu tố (2FA) bất cứ khi nào có thể để tăng cường lớp bảo mật.
• Đảm bảo phần mềm diệt virus và hệ điều hành luôn được cập nhật phiên bản mới nhất và các bản vá bảo mật.