近期一位名為 Dee 的惡意軟件研究人員披露了該虛假網站，當真假網站并列顯示，可以發現山寨網站并非真實網站的完全復制品，但使用了高度相似的官方徽標、主題、營銷圖像和結構。該假網站甚至還設有聯系表格、電子郵件地址和常見問題解答部分。對于那些不熟悉正規 Atomic wallet網站的人來說，很容易就會相信山寨網站是真實的網站。

正版網站左，假網站右

社交媒體上的惡意廣告、各種平臺上的直接消息、SEO 中毒或垃圾郵件均有可能將用戶導向這一非法山寨網站。嘗試在山寨網站上下載該軟件的用戶會看到 Windows、iOS 和 Android 版本的三個按鈕。

假網站上的下載頁面

單擊 iOS 不會執行任何操作，單擊 Google Play 按鈕會重定向到 Play 商店中真正的 Atomic Wallet 應用程序。但是，單擊 Windows 按鈕將下載一個名為“Atomic Wallet.zip”的 ZIP 文件，其中包含安裝 Mars Stealer 感染的惡意代碼。

Mars Stealer 是最近出現的信息竊取器，它針對存儲在 Web 瀏覽器、加密貨幣擴展和錢包以及雙因素身份驗證插件上的帳戶憑據。

逃避檢測

根據Cyble昨天發布的一份技術報告，正在進行的 Mars Stealer 活動的交付機制的特點是逃避檢測的顯著努力。ZIP 包含一個批處理文件 (AtomicWallet-Setup.bat)，該文件調用 PowerShell 命令以提升其在主機上的權限。接下來，bat文件復制目錄中的PowerShell可執行文件（powershell.exe），重命名并隱藏，最終使用它來執行base64編碼的PowerShell內容。

包含的 bat 文件的內容 (Cyble)

此代碼解密 AES 加密和 GZip 壓縮的 Base64 編碼代碼，該代碼執行充當惡意軟件加載程序的最終 PowerShell 代碼。

解密解壓代碼 （Cyble）

加載程序從 Discord 服務器下載 Mars Stealer 的副本并將其放在主機上的 %LOCALAPPDATA% 上。安裝后，惡意軟件啟動并開始從現在受感染的設備中竊取數據。

從 Discord (Cyble)下載 Mars Stealer

如何保持安全

用戶下載加密貨幣錢包時，務必確保使用的是官方下載門戶，并且永遠不要信任社交媒體或即時消息平臺上提供的鏈接。此外，請注意 SEO 中毒和惡意 Google Ads 活動，它們會使惡意網站在 Google 搜索結果中的排名高于官方網站，因此建議用戶跳過所有標記為廣告的搜索結果。