内容摘要：近期一位名为 Dee 的恶意软件研究人员披露了该虚假网站，当真假网站并列显示，可以发现山寨网站并非真实网站的完全复制品，但使用了高度相似的官方徽标、主题、营销图像和结构。该假网站甚至还设有联系表格、电

近期一位名为 Dee 的遭山寨假恶意软件研究人员披露了该虚假网站 ，当真假网站并列显示 ，网站可以发现山寨网站并非真实网站的散播完全复制品 ，但使用了高度相似的恶意官方徽标、主题、软件营销图像和结构。遭山寨假该假网站甚至还设有联系表格 、网站电子邮件地址和常见问题解答部分 
。散播对于那些不熟悉正规 Atomic wallet网站的恶意人来说 ，很容易就会相信山寨网站是软件真实的模板下载网站 。

正版网站左 ，遭山寨假假网站右

社交媒体上的网站恶意广告、各种平台上的散播直接消息、SEO 中毒或垃圾邮件均有可能将用户导向这一非法山寨网站
。恶意尝试在山寨网站上下载该软件的软件用户会看到 Windows、iOS 和 Android 版本的三个按钮
。

假网站上的下载页面

单击 iOS 不会执行任何操作
，单击 Google Play 按钮会重定向到 Play 商店中真正的建站模板 Atomic Wallet 应用程序。但是，单击 Windows 按钮将下载一个名为“Atomic Wallet.zip”的 ZIP 文件
，其中包含安装 Mars Stealer 感染的恶意代码 。

Mars Stealer 是最近出现的信息窃取器，它针对存储在 Web 浏览器 、加密货币扩展和钱包以及双因素身份验证插件上的帐户凭据 。

逃避检测

根据Cyble昨天发布的香港云服务器一份技术报告，正在进行的 Mars Stealer 活动的交付机制的特点是逃避检测的显著努力
。ZIP 包含一个批处理文件 (AtomicWallet-Setup.bat)，该文件调用 PowerShell 命令以提升其在主机上的权限。接下来
，bat文件复制目录中的PowerShell可执行文件（powershell.exe） ，重命名并隐藏，亿华云最终使用它来执行base64编码的PowerShell内容。

包含的 bat 文件的内容 (Cyble)

此代码解密 AES 加密和 GZip 压缩的 Base64 编码代码 ，该代码执行充当恶意软件加载程序的最终 PowerShell 代码。

解密解压代码 （Cyble）

加载程序从 Discord 服务器下载 Mars Stealer 的副本并将其放在主机上的 %LOCALAPPDATA% 上。安装后 ，恶意软件启动并开始从现在受感染的设备中窃取数据。源码库

从 Discord (Cyble)下载 Mars Stealer

如何保持安全

用户下载加密货币钱包时，务必确保使用的是官方下载门户，并且永远不要信任社交媒体或即时消息平台上提供的链接。此外，请注意 SEO 中毒和恶意 Google Ads 活动，它们会使恶意网站在 Google 搜索结果中的排名高于官方网站
 ，因此建议用户跳过所有标记为广告的搜索结果 。