Дослідники Cybernews виявили шкідливу кампанію під назвою Efimer, яка цілеспрямовано атакує шанувальників кіно напередодні 97-ї церемонії вручення премії «Оскар». Зловмисники експлуатують популярність номінантів на «Найкращий фільм» — зокрема «Марті Супрім» і «Бугонія» — щоб заманити користувачів Windows на скомпрометовані вебсайти та викрасти криптовалюту з їхніх гаманців.
Класична пастка через пошук Google
Схема атаки побудована за принципом «медової пастки»: коли користувачі шукають в Google піратські копії номінантів — наприклад, «Одна битва за іншою» Пола Томаса Андерсона або «Франкенштейна» Гільєрмо дель Торо, — замість відеофайлу вони завантажують скрипт, що спустошує їхні цифрові гаманці.
Найбільш показовим результатом дослідження виявилося те, що головна небезпека виходить не з програм для завантаження торентів, а безпосередньо з Google-пошуку. Дослідники просканували розподілену хеш-таблицю (DHT) та перевірили популярні торент-трекери — і не виявили жодного шкідливого ПЗ, вбудованого безпосередньо у торент-файли.
Натомість при введенні запитів виду «[Назва фільму] [рік виходу] torrent download» 12,11% результатів Google виявилися шкідливими. Ініціатори загрози маніпулювали SEO-просуванням, зламуючи вразливі WordPress-сайти методом перебору паролів і розміщуючи на них фальшиві сторінки для завантаження торентів.
Кампанія Efimer активна з 2024 року і не обмежується виключно оскарівськими стрічками, однак дослідники підтвердили, що кожен фільм із цьогорічного списку номінантів на «Найкращий фільм» потрапив у зону дії кампанії.
Найнебезпечніші номінанти
Аналіз показав, що найбільше шкідливих посилань пов’язано з фільмом «Марті Супрім» — 16 посилань, далі йдуть «Бугонія» (15) та «Грішники» (12). Серед інших стрічок: «Таємний агент» (11), «Потягові мрії» (10), «Сентиментальна цінність» (9). Навіть фільми з меншою кількістю шкідливих результатів — «F1» і «Одна битва за іншою» (по 5), «Гамнет» (4) та «Франкенштейн» (3) — становлять реальну загрозу.
Як відбувається зараження
Дослідники Cybernews детально відтворили весь ланцюжок зараження. Користувач знаходить через Google скомпрометований WordPress-сайт і завантажує файл movie_33463_data.torrent. Усередині архіву — захищений паролем ZIP-файл для приховування вмісту від антивірусів та скрипт під назвою «1. Disable Defender.bat».
Далі — підроблена легенда про кодек: нібито для відтворення відео потрібен спеціальний плеєр. До архіву додано фальшивий «відеофайл» та інсталятор програми Xmpeg. Xmpeg є легітимним інструментом з відкритим кодом для конвертації відео, однак у цьому конкретному випадку інсталятор містить шкідливе ПЗ. Після встановлення Efimer починає стежити за буфером обміну: щойно він виявляє криптовалютну транзакцію, то автоматично підмінює адресу одержувача на адресу зловмисника. Крім того, шкідливе ПЗ збирає сід-фрази криптогаманців. Кампанія спрямована виключно проти користувачів Windows.
Як розпізнати шкідливі сторінки: 5 ознак
Найнадійніший спосіб уникнути зараження — завжди користуватися легальними стримінговими платформами або авторизованими дистриб’юторами. Проте навіть обережні користувачі можуть випадково натиснути на шкідливе посилання. Дослідники виділили п’ять характерних ознак сторінок кампанії Efimer.
- Підозрілий шрифт у тексті. Якщо на сайті напис «Torrent Download» відображається незвичними математичними символами — наприклад, «orrent ownload», — це ознака того, що ініціатори загрози свідомо підмінюють символи, щоб обійти автоматичні фільтри Google.
- Розбіжність між URL та вмістом. Якщо пошук фільму привів на сторінку кшталту lucys-flower-shop.com/blog/marty-supreme-free-torrent — це скомпрометований сайт, не пов’язаний з кіноіндустрією.
- Скрипт «Disable Defender». Якщо у завантаженому архіві є файл «Disable Defender.bat» або будь-який інший файл із проханням вимкнути антивірус — це беззаперечний сигнал небезпеки. Відеофайл не може потребувати відключення захисту.
- Інсталятор кодека. Якщо торент містить .exe-файл на кшталт xmpeg_setup.exe, що нібито потрібний для відтворення відео, — це шкідливе ПЗ. Сучасні плеєри на зразок VLC відтворюють майже будь-який формат без додаткових інсталяцій.
- Архів із паролем. Якщо фільм поставляється у ZIP- або RAR-файлі, пароль до якого міститься в окремому .txt-файлі, — це спроба приховати вміст від антивірусного сканування до розпакування архіву.
Чому схема досі працює
«Виявлена кампанія легко ідентифікується як шкідлива будь-якою комп’ютерно грамотною людиною. Це стара тактика, яка застосовується вже понад 10 років», — зазначають дослідники Cybernews. Попри це, схема залишається ефективною в 2026 році, оскільки зростання популярності криптовалют привернуло до крипторинку мільйони технічно непідготовлених користувачів, які мають гаманці та кошти, але не завжди здатні розпізнати загрозу.
Що робити у разі зараження
Якщо шкідливий файл уже виконано, систему слід вважати скомпрометованою. Дослідники Cybernews рекомендують такі кроки:
- запустити повне антивірусне сканування для виявлення та видалення шкідливого ПЗ;
- за необхідності перевстановити Windows з нуля;
- не звертатися до криптогаманців із зараженого пристрою.
На іншому пристрої слід згенерувати новий гаманець і негайно перевести туди залишок коштів — старий гаманець вважається скомпрометованим.
Адміністраторам WordPress, чиї сайти можуть бути задіяні в кампанії, рекомендують перевірити бекенд на наявність несанкціонованих публікацій, коментарів або сторінок невідомого походження. У разі їх виявлення — видалити всі несанкціоновані записи та плагіни, оновити WordPress і всі плагіни до актуальних версій, а також змінити паролі адміністратора та бази даних.
Методологія дослідження
Для відстеження кампанії Efimer дослідники Cybernews проаналізували публічно доступні результати пошуку за назвами цьогорічних номінантів, використовуючи автоматизовані інструменти. Після фільтрації шуму — виключення соціальних мереж, відомих торент-трекерів та неактивних скомпрометованих сайтів — було сформовано верифікований список активних шкідливих дзеркал.
Оскільки алгоритм Google показує різні результати різним користувачам, виявлена картина, імовірно, є лише верхівкою айсберга. «Ми не можемо бути впевнені, що Google не проіндексував шкідливі сторінки для завантаження торентів, які не потрапили в поле зору цього дослідження», — зазначають дослідники. Зразки шкідливого ПЗ не піддавалися ручному реверс-інжинірингу — їх перехресно звірили з наявними антивірусними метаданими та відомими базами даних кіберзагроз.
Як захиститися
Ця кампанія націлена лише на користувачів Windows. Експерти радять:
- Бути обережними при переході за незвичними посиланнями
- Використовувати надійне антивірусне ПЗ та фаєрвол
- Регулярно оновлювати захисне програмне забезпечення
- Уникати завантаження фільмів з непевних джерел
Важливо пам’ятати: якщо сайт просить встановити “спеціальний плеєр” для перегляду відео — це майже завжди ознака шахрайства.
