近期一位名为 Dee 的恶意软件研究人员披露了该虚假网站,当真假网站并列显示,可以发现山寨网站并非真实网站的完全复制品,但使用了高度相似的官方徽标、主题、营销图像和结构。该假网站甚至还设有联系表格、电子邮件地址和常见问题解答部分。对于那些不熟悉正规 Atomic wallet网站的人来说,很容易就会相信山寨网站是真实的网站。
正版网站左,假网站右
社交媒体上的恶意广告、各种平台上的直接消息、SEO 中毒或垃圾邮件均有可能将用户导向这一非法山寨网站。尝试在山寨网站上下载该软件的用户会看到 Windows、iOS 和 Android 版本的三个按钮。
假网站上的下载页面
单击 iOS 不会执行任何操作,单击 Google Play 按钮会重定向到 Play 商店中真正的 Atomic Wallet 应用程序。但是,单击 Windows 按钮将下载一个名为“Atomic Wallet.zip”的 ZIP 文件,其中包含安装 Mars Stealer 感染的恶意代码。
Mars Stealer 是最近出现的信息窃取器,它针对存储在 Web 浏览器、加密货币扩展和钱包以及双因素身份验证插件上的帐户凭据。
逃避检测
根据Cyble昨天发布的一份技术报告,正在进行的 Mars Stealer 活动的交付机制的特点是逃避检测的显著努力。ZIP 包含一个批处理文件 (AtomicWallet-Setup.bat),该文件调用 PowerShell 命令以提升其在主机上的权限。接下来,bat文件复制目录中的PowerShell可执行文件(powershell.exe),重命名并隐藏,最终使用它来执行base64编码的PowerShell内容。
包含的 bat 文件的内容 (Cyble)
此代码解密 AES 加密和 GZip 压缩的 Base64 编码代码,该代码执行充当恶意软件加载程序的最终 PowerShell 代码。
解密解压代码 (Cyble)
加载程序从 Discord 服务器下载 Mars Stealer 的副本并将其放在主机上的 %LOCALAPPDATA% 上。安装后,恶意软件启动并开始从现在受感染的设备中窃取数据。
从 Discord (Cyble)下载 Mars Stealer
如何保持安全
用户下载加密货币钱包时,务必确保使用的是官方下载门户,并且永远不要信任社交媒体或即时消息平台上提供的链接。此外,请注意 SEO 中毒和恶意 Google Ads 活动,它们会使恶意网站在 Google 搜索结果中的排名高于官方网站,因此建议用户跳过所有标记为广告的搜索结果。