<form id="1th9d"><form id="1th9d"><th id="1th9d"></th></form></form>
            <address id="1th9d"></address>

                <form id="1th9d"><nobr id="1th9d"></nobr></form>
                <form id="1th9d"><nobr id="1th9d"><nobr id="1th9d"></nobr></nobr></form>
                  <form id="1th9d"><form id="1th9d"><nobr id="1th9d"></nobr></form></form>

                    <address id="1th9d"><listing id="1th9d"><menuitem id="1th9d"></menuitem></listing></address>

                      2022成都網絡信息安全技術大會暨展覽會
                      2022-08-05 15:50:13

                      Atomic wallet遭山寨,假網站散播惡意軟件

                      Atomic wallet遭山寨,假網站散播惡意軟件

                      知名去中心化錢包和加密貨幣交換門戶網站Atomic wallet近期被假冒,山寨的Atomic wallet網站實際上正在散播 Mars Stealer 信息竊取惡意軟件的副本。

                      近期一位名為 Dee 的惡意軟件研究人員披露了該虛假網站,當真假網站并列顯示,可以發現山寨網站并非真實網站的完全復制品,但使用了高度相似的官方徽標、主題、營銷圖像和結構。該假網站甚至還設有聯系表格、電子郵件地址和常見問題解答部分。對于那些不熟悉正規 Atomic wallet網站的人來說,很容易就會相信山寨網站是真實的網站。1659584719_62eb40cf65aa01f2f1cbd.png!small?1659584721803

                      正版網站左,假網站右

                      社交媒體上的惡意廣告、各種平臺上的直接消息、SEO 中毒或垃圾郵件均有可能將用戶導向這一非法山寨網站。嘗試在山寨網站上下載該軟件的用戶會看到 Windows、iOS 和 Android 版本的三個按鈕。

                      1659584737_62eb40e140307663e1fd9.png!small?1659584738976假網站上的下載頁面

                      單擊 iOS 不會執行任何操作,單擊 Google Play 按鈕會重定向到 Play 商店中真正的 Atomic Wallet 應用程序。但是,單擊 Windows 按鈕將下載一個名為“Atomic Wallet.zip”的 ZIP 文件,其中包含安裝 Mars Stealer 感染的惡意代碼。

                      Mars Stealer 是最近出現的信息竊取器,它針對存儲在 Web 瀏覽器、加密貨幣擴展和錢包以及雙因素身份驗證插件上的帳戶憑據。

                      逃避檢測

                      根據Cyble昨天發布的一份技術報告,正在進行的 Mars Stealer 活動的交付機制的特點是逃避檢測的顯著努力。ZIP 包含一個批處理文件 (AtomicWallet-Setup.bat),該文件調用 PowerShell 命令以提升其在主機上的權限。接下來,bat文件復制目錄中的PowerShell可執行文件(powershell.exe),重命名并隱藏,最終使用它來執行base64編碼的PowerShell內容。1659584852_62eb4154d7627a1d9f60c.jpg!small?1659584854728

                      包含的 bat 文件的內容 (Cyble)

                      此代碼解密 AES 加密和 GZip 壓縮的 Base64 編碼代碼,該代碼執行充當惡意軟件加載程序的最終 PowerShell 代碼。1659584870_62eb416647d2ae447de8e.png!small?1659584872100

                      解密解壓代碼 (Cyble)

                      加載程序從 Discord 服務器下載 Mars Stealer 的副本并將其放在主機上的 %LOCALAPPDATA% 上。安裝后,惡意軟件啟動并開始從現在受感染的設備中竊取數據。1659584875_62eb416baf8fb6eb7e811.png!small?1659584877418

                      從 Discord (Cyble)下載 Mars Stealer

                      如何保持安全

                      用戶下載加密貨幣錢包時,務必確保使用的是官方下載門戶,并且永遠不要信任社交媒體或即時消息平臺上提供的鏈接。此外,請注意 SEO 中毒和惡意 Google Ads 活動,它們會使惡意網站在 Google 搜索結果中的排名高于官方網站,因此建議用戶跳過所有標記為廣告的搜索結果。

                      消息來源:https://www.bleepingcomputer.com/news/security/cloned-atomic-wallet-website-is-pushing-mars-stealer-malware/

                      *版權聲明:本文為轉載FreeBuf.COM原創文章的作者發布,轉載目的在于傳遞更多信息,不代表本網站及FreeBuf.COM立場。如有侵權或其他問題,請及時聯系我們sales@jhexpo.org及時刪除。

                      *本文原地址:https://www.freebuf.com/news/341012.html


                      # Atomic wallet# Mars Stealer


                      上一篇:思科修復了VPN路由器中關鍵遠程代碼執行漏洞
                      下一篇:CVE-2022-26138 Confluence Server硬編碼漏洞分析
                      爽?好舒服?浪货人妻

                          <form id="1th9d"><form id="1th9d"><th id="1th9d"></th></form></form>
                                <address id="1th9d"></address>

                                    <form id="1th9d"><nobr id="1th9d"></nobr></form>
                                    <form id="1th9d"><nobr id="1th9d"><nobr id="1th9d"></nobr></nobr></form>
                                      <form id="1th9d"><form id="1th9d"><nobr id="1th9d"></nobr></form></form>

                                        <address id="1th9d"><listing id="1th9d"><menuitem id="1th9d"></menuitem></listing></address>