卡巴斯基最新報告揭露：釣魚郵件偽裝律師通知信夾帶 Efimer 病毒竊取加密貨幣

 

卡巴斯基（Kaspersky Security Network）8 月 8 日發表最新報告指出從 2024 年 10 月至 2025 年 7 月之間，超過 5,000 名個人與企業用戶成為名為 Efimer 的木馬程式受害者，其中以巴西受影響最嚴重，約有 1,500 名用戶遭殃。其他受波及國家包括印度、西班牙、俄羅斯、義大利及德國。

卡巴斯基發現針對企業用戶的惡意攻擊活動正在迅速蔓延，犯罪組織利用 Efimer 木馬病毒進行攻擊。 Efimer 為竊取和替換加密貨幣錢包地址的木馬程式。 Efimer 的初始版本於 2024 年 10 月出現，起初只透過受感染的 WordPress 網站進行傳播，然而在 2025 年 6 月，Efimer 軟體開始透過釣魚郵件傳播。攻擊者偽裝成律師事務所，發送電子郵件威脅收件人，以用戶涉嫌侵犯網域專利為由將對他們提起訴訟，誘騙他們下載惡意軟體。這種方法使 Efimer 能夠建立自己的惡意基礎設施，持續入侵到用戶設備，進行更進一步的犯罪行動。

釣魚郵件聲稱用戶侵權

卡巴斯基分析，這些釣魚郵件多偽裝成來自律師事務所的法律通知，聲稱收件人涉嫌侵犯網域專利，然後威脅將對受害者提起訴訟，郵件通常包含一個壓縮檔案或可下載連結，一旦打開便會觸發 Efimer 的安裝程序。

釣魚郵件範例如下：

主旨：關於您公司域名專利侵權之法律通知

尊敬的收件人：

我們的法律團隊已發現貴公司所使用之域名涉嫌侵犯本所客戶的專利權。若您未於 48 小時內回覆並採取行動，我們將不得不向法院正式提出訴訟。

請參閱附件文件以了解案件詳情及下一步程序。

XX 律師事務所

卡巴斯基指出，Efimer 的危險性在於不同的傳播策略，個人用戶會以偽裝成熱門電影的種子檔引誘下載，針對企業用戶則是透過帶有法律威脅的詐騙郵件下手。無論哪種情況，都會威脅使用者主動下載並執行惡意檔案後才會觸發。

Efimer 木馬如何運作？

Efimer 木馬一旦進入系統，會執行以下惡意行為：

1. 竊取與替換加密貨幣錢包地址，持續監控剪貼簿內容，一旦偵測到符合加密貨幣地址格式的字串，立即以攻擊者控制的地址取代。

2. 持久化機制：在系統啟動項目中註冊帳號，確保每次開機都能自動運行。

3. 反分析技術：使用混淆代碼與虛擬機檢測，避免被安全研究人員進行逆向工程。

4. 基礎設施持續擴散：嘗試下載安裝其他模組，以延伸功能持續感染更多系統。

卡巴斯基警告，Efimer 不僅對加密貨幣持有者構成直接財務威脅，也可能成為後續高階攻擊（如勒索軟體或企業間諜活動）入侵之前的動作。

卡巴斯基對防範 Efimer 及類似威脅的安全建議

卡巴斯基呼籲：

• 避免從未知或不受信任的來源下載種子檔案。
• 收到郵件時應核實寄件者身分，保持更新防毒資料庫。
• 不點擊可疑郵件或垃圾郵件中的連結及附件。
• 定期更新軟體，使用強密碼與雙重身分驗證，持續監控異常活動。
• 安裝信賴的安全解決方案以自動攔截威脅。
• 開發者與網站管理員應加強基礎設施安全，防止未經授權存取與惡意軟體傳播。

 

 

 

 

這篇文章 卡巴斯基最新報告揭露：釣魚郵件偽裝律師通知信夾帶 Efimer 病毒竊取加密貨幣 最早出現於 鏈新聞 ABMedia。