近期一位名為 Dee 的惡意軟件研究人員披露了該虛假網(wǎng)站，當真假網(wǎng)站并列顯示，可以發(fā)現(xiàn)山寨網(wǎng)站并非真實網(wǎng)站的完全復(fù)制品，但使用了高度相似的官方徽標、主題、營銷圖像和結(jié)構(gòu)。該假網(wǎng)站甚至還設(shè)有聯(lián)系表格、電子郵件地址和常見問題解答部分。對于那些不熟悉正規(guī) Atomic wallet網(wǎng)站的人來說，很容易就會相信山寨網(wǎng)站是真實的網(wǎng)站。

正版網(wǎng)站左，假網(wǎng)站右

社交媒體上的惡意廣告、各種平臺上的直接消息、SEO 中毒或垃圾郵件均有可能將用戶導(dǎo)向這一非法山寨網(wǎng)站。嘗試在山寨網(wǎng)站上下載該軟件的用戶會看到 Windows、iOS 和 Android 版本的三個按鈕。

假網(wǎng)站上的下載頁面

單擊 iOS 不會執(zhí)行任何操作，單擊 Google Play 按鈕會重定向到 Play 商店中真正的 Atomic Wallet 應(yīng)用程序。但是，單擊 Windows 按鈕將下載一個名為“Atomic Wallet.zip”的 ZIP 文件，其中包含安裝 Mars Stealer 感染的惡意代碼。

Mars Stealer 是最近出現(xiàn)的信息竊取器，它針對存儲在 Web 瀏覽器、加密貨幣擴展和錢包以及雙因素身份驗證插件上的帳戶憑據(jù)。

逃避檢測

根據(jù)Cyble昨天發(fā)布的一份技術(shù)報告，正在進行的 Mars Stealer 活動的交付機制的特點是逃避檢測的顯著努力。ZIP 包含一個批處理文件 (AtomicWallet-Setup.bat)，該文件調(diào)用 PowerShell 命令以提升其在主機上的權(quán)限。接下來，bat文件復(fù)制目錄中的PowerShell可執(zhí)行文件（powershell.exe），重命名并隱藏，最終使用它來執(zhí)行base64編碼的PowerShell內(nèi)容。

包含的 bat 文件的內(nèi)容 (Cyble)

此代碼解密 AES 加密和 GZip 壓縮的 Base64 編碼代碼，該代碼執(zhí)行充當惡意軟件加載程序的最終 PowerShell 代碼。

解密解壓代碼 （Cyble）

加載程序從 Discord 服務(wù)器下載 Mars Stealer 的副本并將其放在主機上的 %LOCALAPPDATA% 上。安裝后，惡意軟件啟動并開始從現(xiàn)在受感染的設(shè)備中竊取數(shù)據(jù)。

從 Discord (Cyble)下載 Mars Stealer

如何保持安全

用戶下載加密貨幣錢包時，務(wù)必確保使用的是官方下載門戶，并且永遠不要信任社交媒體或即時消息平臺上提供的鏈接。此外，請注意 SEO 中毒和惡意 Google Ads 活動，它們會使惡意網(wǎng)站在 Google 搜索結(jié)果中的排名高于官方網(wǎng)站，因此建議用戶跳過所有標記為廣告的搜索結(jié)果。