技术细节

背景

在6月，我们发现了一场大规模邮件传播活动，攻击者冒充某大型公司律师，声称收件人的域名侵犯了其商标权。这些邮件携带了Efimer恶意脚本，旨在窃取加密货币。该脚本还包含额外功能，能通过入侵WordPress网站等方式进一步传播。

邮件传播

用户收到的邮件声称律师已审查收件人域名，发现其中包含侵犯其注册商标的词语。邮件威胁将采取法律行动，但如果域名所有者更改域名则可撤销诉讼。附件中包含一个名为"Demand_984175"的ZIP文件(MD5: e337c507a4866169a7394d718bc19df9)，内含密码保护的嵌套压缩包和空文件"PASSWORD – 47692"。

Efimer木马

控制器脚本controller.js是一种ClipBanker类型木马，主要功能是：

1. 替换用户剪贴板中的加密货币钱包地址为攻击者地址
2. 能执行从C2服务器接收的外部代码
3. 使用Tor网络与C2服务器通信(http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]onion)

WordPress网站入侵

攻击者还通过入侵防护薄弱的WordPress网站传播木马，发布提供最新电影下载的帖子。这些帖子包含指向受密码保护压缩包的链接，其中含有伪装成媒体播放器的恶意可执行文件xmpeg_player.exe。

其他脚本

1. btdlg.js：暴力破解WordPress网站密码
2. assembly.js：增强版ClipBanker，增加对Tron和Solana钱包的支持
3. liame.js：从指定网站收集电子邮件地址(名称"liame"是"email"的反写)

受害者统计

2024年10月至2025年7月间，卡巴斯基产品检测到5015名用户感染Efimer木马。受影响最严重的国家包括：

1. 巴西(1476用户)
2. 印度
3. 西班牙
4. 俄罗斯
5. 意大利
6. 德国

防护建议

1. 用户应避免下载来源不明的种子文件
2. 仔细验证邮件发件人真实性
3. 定期更新杀毒软件数据库
4. 网站管理员应使用强密码、双因素认证
5. 持续监控网站是否遭入侵

入侵指标(IoC)

恶意文件哈希

39fa36b9bfcf6fd4388eb586e2798d1a — Requirement.wsf
5ba59f9e6431017277db39ed5994d363 — controller.js
442ab067bf78067f5db5d515897db15c — xmpeg_player.exe

C2服务器URL

hxxp://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]onion
hxxp://he5vnov645txpcv57el2theky2elesn24ebvgwfoewlpftksxp4fnxad[.]onion