近期一位名為 Dee 的惡意軟件研究人員披露了該虛假網(wǎng)站，當(dāng)真假網(wǎng)站并列顯示，可以發(fā)現(xiàn)山寨網(wǎng)站并非真實(shí)網(wǎng)站的完全復(fù)制品，但使用了高度相似的官方徽標(biāo)、主題、營(yíng)銷圖像和結(jié)構(gòu)。該假網(wǎng)站甚至還設(shè)有聯(lián)系表格、電子郵件地址和常見(jiàn)問(wèn)題解答部分。對(duì)于那些不熟悉正規(guī) Atomic wallet網(wǎng)站的人來(lái)說(shuō)，很容易就會(huì)相信山寨網(wǎng)站是真實(shí)的網(wǎng)站。

正版網(wǎng)站左，假網(wǎng)站右

社交媒體上的惡意廣告、各種平臺(tái)上的直接消息、SEO 中毒或垃圾郵件均有可能將用戶導(dǎo)向這一非法山寨網(wǎng)站。嘗試在山寨網(wǎng)站上下載該軟件的用戶會(huì)看到 Windows、iOS 和 Android 版本的三個(gè)按鈕。

假網(wǎng)站上的下載頁(yè)面

單擊 iOS 不會(huì)執(zhí)行任何操作，單擊 Google Play 按鈕會(huì)重定向到 Play 商店中真正的 Atomic Wallet 應(yīng)用程序。但是，單擊 Windows 按鈕將下載一個(gè)名為“Atomic Wallet.zip”的 ZIP 文件，其中包含安裝 Mars Stealer 感染的惡意代碼。

Mars Stealer 是最近出現(xiàn)的信息竊取器，它針對(duì)存儲(chǔ)在 Web 瀏覽器、加密貨幣擴(kuò)展和錢(qián)包以及雙因素身份驗(yàn)證插件上的帳戶憑據(jù)。

逃避檢測(cè)

根據(jù)Cyble昨天發(fā)布的一份技術(shù)報(bào)告，正在進(jìn)行的 Mars Stealer 活動(dòng)的交付機(jī)制的特點(diǎn)是逃避檢測(cè)的顯著努力。ZIP 包含一個(gè)批處理文件 (AtomicWallet-Setup.bat)，該文件調(diào)用 PowerShell 命令以提升其在主機(jī)上的權(quán)限。接下來(lái)，bat文件復(fù)制目錄中的PowerShell可執(zhí)行文件（powershell.exe），重命名并隱藏，最終使用它來(lái)執(zhí)行base64編碼的PowerShell內(nèi)容。

包含的 bat 文件的內(nèi)容 (Cyble)

此代碼解密 AES 加密和 GZip 壓縮的 Base64 編碼代碼，該代碼執(zhí)行充當(dāng)惡意軟件加載程序的最終 PowerShell 代碼。

解密解壓代碼 （Cyble）

加載程序從 Discord 服務(wù)器下載 Mars Stealer 的副本并將其放在主機(jī)上的 %LOCALAPPDATA% 上。安裝后，惡意軟件啟動(dòng)并開(kāi)始從現(xiàn)在受感染的設(shè)備中竊取數(shù)據(jù)。

從 Discord (Cyble)下載 Mars Stealer

如何保持安全

用戶下載加密貨幣錢(qián)包時(shí)，務(wù)必確保使用的是官方下載門(mén)戶，并且永遠(yuǎn)不要信任社交媒體或即時(shí)消息平臺(tái)上提供的鏈接。此外，請(qǐng)注意 SEO 中毒和惡意 Google Ads 活動(dòng)，它們會(huì)使惡意網(wǎng)站在 Google 搜索結(jié)果中的排名高于官方網(wǎng)站，因此建議用戶跳過(guò)所有標(biāo)記為廣告的搜索結(jié)果。