El troyano Efimer ataca a organizaciones españolas a través de emails de phishing

Kaspersky ha descubierto una escalada de campañas maliciosas dirigidas a usuarios corporativos con Efimer, un troyano diseñado para robar y reemplazar direcciones de billeteras de criptomonedas. Versiones iniciales de Efimer aparecieron en octubre de 2024 y se distribuyeron a través de Sitios web de WordPress. Sin embargo, en junio de 2025, el malware comenzó a propagarse también a través de correos electrónicos de phishing.

Entre octubre de 2024 y julio de 2025, más de 5.000 usuarios, tanto particulares como organizaciones, fueron víctimas del troyano. El malware tuvo un impacto particular en Brasil, afectando a alrededor de 1.500 víctimas. Estos ataques también se dirigieron a usuarios en India, España, Rusia, Italia y Alemania.

Disfrazados de bufete de abogados, los atacantes envían correos electrónicos amenazar a los destinatarios con demandas por presuntas violaciones de patentes de nombres de dominio para engañarlos para que descarguen el malware. Este enfoque permite a Efimer construir su propia infraestructura maliciosa y continuar extendiéndose a nuevos dispositivos.

"Este troyano es notable por su enfoque dual, para propagarse y apuntar tanto usuarios individuales como entornos corporativos con diferentes tácticas. Para usuarios privados, los atacantes usan archivos torrent haciéndose pasar por películas populares para atraer a las víctimas, mientras que en entornos corporativos, dependen de correos electrónicos fraudulentos que contienen amenazas legales. Fundamentalmente, en ambos casos, el compromiso solo ocurre si el usuario descarga y ejecuta activamente el archivo malicioso", explica Artyom Ushkov, investigador de amenazas de Kaspersky.