Atomic wallet遭山寨，假网站散播恶意软件

近期一位名为 Dee 的遭山寨假恶意软件研究人员披露了该虚假网站
，当真假网站并列显示，网站可以发现山寨网站并非真实网站的散播完全复制品，但使用了高度相似的恶意官方徽标、主题 、软件营销图像和结构。遭山寨假该假网站甚至还设有联系表格、网站电子邮件地址和常见问题解答部分。散播对于那些不熟悉正规 Atomic wallet网站的恶意人来说，很容易就会相信山寨网站是软件真实的建站模板网站。

正版网站左
，遭山寨假假网站右

社交媒体上的网站恶意广告、各种平台上的散播直接消息、SEO 中毒或垃圾邮件均有可能将用户导向这一非法山寨网站。恶意尝试在山寨网站上下载该软件的软件用户会看到 Windows、iOS 和 Android 版本的三个按钮。

假网站上的下载页面

单击 iOS 不会执行任何操作 ，单击 Google Play 按钮会重定向到 Play 商店中真正的服务器租用 Atomic Wallet 应用程序
。但是，单击 Windows 按钮将下载一个名为“Atomic Wallet.zip”的 ZIP 文件，其中包含安装 Mars Stealer 感染的恶意代码。

Mars Stealer 是最近出现的信息窃取器 ，它针对存储在 Web 浏览器、加密货币扩展和钱包以及双因素身份验证插件上的帐户凭据
。

逃避检测

根据Cyble昨天发布的源码库一份技术报告 ，正在进行的 Mars Stealer 活动的交付机制的特点是逃避检测的显著努力 。ZIP 包含一个批处理文件 (AtomicWallet-Setup.bat)，该文件调用 PowerShell 命令以提升其在主机上的权限 。接下来 ，bat文件复制目录中的PowerShell可执行文件（powershell.exe） ，重命名并隐藏 ，香港云服务器最终使用它来执行base64编码的PowerShell内容 。

包含的 bat 文件的内容 (Cyble)

此代码解密 AES 加密和 GZip 压缩的 Base64 编码代码 ，该代码执行充当恶意软件加载程序的最终 PowerShell 代码 。

解密解压代码 （Cyble）

加载程序从 Discord 服务器下载 Mars Stealer 的副本并将其放在主机上的 %LOCALAPPDATA% 上。安装后，恶意软件启动并开始从现在受感染的设备中窃取数据。云计算

从 Discord (Cyble)下载 Mars Stealer

如何保持安全

用户下载加密货币钱包时
，务必确保使用的是官方下载门户，并且永远不要信任社交媒体或即时消息平台上提供的链接
。此外，请注意 SEO 中毒和恶意 Google Ads 活动，它们会使恶意网站在 Google 搜索结果中的排名高于官方网站，因此建议用户跳过所有标记为广告的搜索结果。