Atomic wallet遭山寨，假网站散播恶意软件

近期一位名为 Dee 的遭山寨假恶意软件研究人员披露了该虚假网站 ，当真假网站并列显示，网站可以发现山寨网站并非真实网站的散播完全复制品，但使用了高度相似的恶意官方徽标
、主题、软件营销图像和结构。遭山寨假该假网站甚至还设有联系表格、网站电子邮件地址和常见问题解答部分 。散播对于那些不熟悉正规 Atomic wallet网站的恶意人来说，很容易就会相信山寨网站是软件真实的云计算网站。

正版网站左，遭山寨假假网站右

社交媒体上的网站恶意广告 、各种平台上的散播直接消息 、SEO 中毒或垃圾邮件均有可能将用户导向这一非法山寨网站。恶意尝试在山寨网站上下载该软件的软件用户会看到 Windows、iOS 和 Android 版本的三个按钮 。

假网站上的下载页面

单击 iOS 不会执行任何操作
，单击 Google Play 按钮会重定向到 Play 商店中真正的建站模板 Atomic Wallet 应用程序 。但是，单击 Windows 按钮将下载一个名为“Atomic Wallet.zip”的 ZIP 文件 ，其中包含安装 Mars Stealer 感染的恶意代码。

Mars Stealer 是最近出现的信息窃取器，它针对存储在 Web 浏览器 、加密货币扩展和钱包以及双因素身份验证插件上的帐户凭据。

逃避检测

根据Cyble昨天发布的模板下载一份技术报告，正在进行的 Mars Stealer 活动的交付机制的特点是逃避检测的显著努力。ZIP 包含一个批处理文件 (AtomicWallet-Setup.bat)，该文件调用 PowerShell 命令以提升其在主机上的权限
。接下来 ，bat文件复制目录中的PowerShell可执行文件（powershell.exe），重命名并隐藏，亿华云最终使用它来执行base64编码的PowerShell内容 。

包含的 bat 文件的内容 (Cyble)

此代码解密 AES 加密和 GZip 压缩的 Base64 编码代码，该代码执行充当恶意软件加载程序的最终 PowerShell 代码
。

解密解压代码 （Cyble）

加载程序从 Discord 服务器下载 Mars Stealer 的副本并将其放在主机上的 %LOCALAPPDATA% 上。安装后
，恶意软件启动并开始从现在受感染的设备中窃取数据  。源码下载

从 Discord (Cyble)下载 Mars Stealer

如何保持安全

用户下载加密货币钱包时，务必确保使用的是官方下载门户 
，并且永远不要信任社交媒体或即时消息平台上提供的链接。此外 ，请注意 SEO 中毒和恶意 Google Ads 活动，它们会使恶意网站在 Google 搜索结果中的排名高于官方网站 ，因此建议用户跳过所有标记为广告的搜索结果。