在网络安全领域，研究人员发现了一波大规模的恶意攻击活动，这一活动与Efimer恶意脚本相关。该脚本是一种复杂的特洛伊木马，主要目标是窃取加密货币。根据俄罗斯卡巴斯基实验室的统计数据，这种恶意软件从2025年6月开始流行，涉及多个传播渠道，包括WordPress网站、电子邮件钓鱼以及种子下载。

Efimer的攻击首次被发现是在2024年10月，其传播最初主要依赖于受到侵害的WordPress网站，此后逐渐扩展到利用电子邮件进行的钓鱼攻击和通过Torrent传播的诱饵。到2025年7月，全球受到影响的用户超过5000人，其中巴西的感染案例最多，达1476起，其次是印度、西班牙、俄罗斯、意大利和德国等国。

在最新的研究中，卡巴斯基产品对该脚本的检测判断包括HEUR:Trojan-Dropper.Script.Efimer、HEUR:Trojan-Banker.Script.Efimer、HEUR:Trojan.Script.Efimer和HEUR:Trojan-Spy.Script.Efimer.gen，这些标识揭示了其在投放负载、窃取银行信息、通用特洛伊木马行为和间谍活动中的作用。

在电子邮件传播该恶意软件的策略中，攻击者使用假冒的商标侵权提醒信息，这些信息中未提及具体的域名，而是在邮件中附带类似“Demand_984175”的ZIP压缩文件（MD5：e337c507a4866169a7394d718bc19df9）。该压缩文件内含嵌套的密码保护档案和使用Unicode模糊处理的欺骗性密码文件，以避免自动提取。

提取的内容为“Requirement.wsf”文件，执行该文件后，它首先检查管理员权限，并在C:\Users\Public\controller路径中安装Efimer的核心组件。然后它为Windows防护程序添加排除项，包括控制器文件夹和系统进程（如exe和cmd.exe）。取决于获得的权限，该文件会通过controller.xml调度任务或设置注册表自启键，并显示假错误信息以误导用户。

Efimer脚本呈现为ClipBanker特洛伊木马，它通过监控剪贴板替换加密货币钱包地址，以便将被窃取的资产转移到攻击者指定的地址。它使用正则表达式模式来识别和交换地址，确保以部分匹配的方式（例如，对于短型比特币钱包的前两个字符或以bc1q开头钱包的最后一个字符）来保持合理性。此外，Efimer脚本通过Torpau经过硬编码的URLs下载Tor代理，与其指挥与控制（C2） сервер进行通信，每30分钟向C2发送带有GUID（如vs1a-1a2b）的请求，并接收如EVAL的远程执行代码或处理种子短语的命令。

除了信息窃取，Efimer还通过辅助脚本进行自传播。其中一个变体是btdlg.js（MD5：0f5404aa252f28c61b08390d52b7a054），通过使用维基百科的单词列表强行为WordPress管理员凭证，并通过Google/Bing搜索目标，利用XML-RPC进行测试输入的创建。该脚本管理最多20个并发进程，以锁定域对象以避免重复，并将成功报告回C2。

此外，被攻击的网站还托管了假冒电影下载的帖子，这些帖子链接到密码保护的Torrent文件，这些文件则将Efimer伪装成XMPEG播放器（例如，xmpeg_player.exe，MD5：442ab067bf78067f5db5d515897db15c）。另一个脚本是liame.js（MD5：eb54c2ff2f62da5d2295ab96eb8d8843），通过HTML解析邮件to链接来收集指定域的电子邮件地址，并进行去重和数据外泄，以用于垃圾邮件活动。

另一种变体，assembly.js（MD5：100620a913f0e0a538b115dbace78589），增加了虚拟机检测、浏览器扩展中的钱包扫描，并支持像KILL这样的自我删除命令。而从Torrent派生的Efimer版本使用ntdlg.js（MD5：627dc31da795b9ab4b8de8ee58fbf952），将Tor提取为ntdlg.exe，并通过PowerShell添加防护程序的排除项。

根据报告，Efimer恶意脚本通过WMI查询避免了任务管理器的检测，并能够处理种文件以确保可靠的信息外泄。这种基础设施使得攻击者能够构建僵尸网络以进一步发起攻击，这强调了在WordPress网站上使用强密码、双因素身份验证和更新杀毒软件的必要性。同时，普通用户也应避免可疑的Torrent文件，并仔细核实电子邮件发件人。这一网络安全事件的发生，再次提示我们必须加强对数字环境的保护，减少潜在的网络安全威胁，以安全对待我们的数字资产。

最后，以下是涉及的文件指纹（IOC）信息，包括恶意文件的哈希值和清洁文件哈希值，以及相关的C2 URL等，供网络安全人员参考及防范。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！