近日,恶意软件研究人员Dee揭露了该虚假网站。将真假网站并排展示时,可以发现,假冒网站并不是真实网站的完整复制,而是使用了高度相似的官方标识、主题、营销图片和结构。这个假网站甚至有联系表格、电子邮件地址和常见问题解答部分。对于那些不熟悉官方Atomic钱包网站的人来说,很容易相信假网站是真的网站。左边是正版网站,右边是假冒网站社交媒体上的恶意广告、各种平台上的私信、SEO中毒或垃圾邮件都可能将用户引导至这个非法山寨网站。试图在仿冒网站上下载该软件的用户将看到三个按钮,适用于Windows、iOS和Android版本。单击假网站上的下载页面对iOS没有任何作用,单击GooglePlay按钮会重定向到Play商店中的真实AtomicWallet应用程序。但是,单击Windows按钮将下载名为“AtomicWallet.zip”的ZIP文件,其中包含安装MarsStealer感染的恶意代码。MarsStealer是最近的一种信息窃取程序,其目标是存储在网络浏览器、加密货币扩展和钱包以及双因素身份验证插件上的帐户凭据。逃避检测根据Cyble昨天发布的一份技术报告,正在进行的MarsStealer活动的交付机制的特点是要付出巨大的努力来逃避检测。ZIP包含一个批处理文件(AtomicWallet-Setup.bat),它调用PowerShell命令来提升其在主机上的权限。接下来,bat文件复制目录中的PowerShell可执行文件(powershell.exe),重命名并隐藏,最后用它来执行base64编码的PowerShell内容。包含的bat文件(Cyble)的内容此代码解密AES加密和GZip压缩的Base64编码代码,该代码执行最终的PowerShell代码,充当恶意软件加载程序。解密的解包代码(Cyble)加载程序从Discord服务器下载MarsStealer的副本并将其放置在主机上的%LOCALAPPDATA%上。安装后,恶意软件会启动并开始从现在受感染的设备中窃取数据。从Discord(Cyble)下载MarsStealer如何保持安全当用户下载加密货币钱包时,请始终确保他们使用的是官方下载门户,并且永远不要相信社交媒体或即时消息平台上提供的链接。此外,请注意SEO中毒和恶意GoogleAds活动,它们会使恶意网站在Google搜索结果中的排名高于官方网站,因此建议用户跳过所有标记为广告的搜索结果。
