近期一位名为 Dee 的遭山寨假恶意软件研究人员披露了该虚假网站，当真假网站并列显示，网站可以发现山寨网站并非真实网站的散播完全复制品 ，但使用了高度相似的恶意官方徽标
、主题、软件营销图像和结构 。遭山寨假该假网站甚至还设有联系表格、网站电子邮件地址和常见问题解答部分。散播对于那些不熟悉正规 Atomic wallet网站的恶意人来说，很容易就会相信山寨网站是软件真实的香港云服务器网站
。

正版网站左，遭山寨假假网站右

社交媒体上的网站恶意广告、各种平台上的散播直接消息、SEO 中毒或垃圾邮件均有可能将用户导向这一非法山寨网站。恶意尝试在山寨网站上下载该软件的软件用户会看到 Windows、iOS 和 Android 版本的三个按钮。

假网站上的下载页面

单击 iOS 不会执行任何操作，单击 Google Play 按钮会重定向到 Play 商店中真正的建站模板 Atomic Wallet 应用程序。但是，单击 Windows 按钮将下载一个名为“Atomic Wallet.zip”的 ZIP 文件 ，其中包含安装 Mars Stealer 感染的恶意代码 。

Mars Stealer 是最近出现的信息窃取器，它针对存储在 Web 浏览器、加密货币扩展和钱包以及双因素身份验证插件上的帐户凭据 。

逃避检测

根据Cyble昨天发布的云计算一份技术报告 ，正在进行的 Mars Stealer 活动的交付机制的特点是逃避检测的显著努力。ZIP 包含一个批处理文件 (AtomicWallet-Setup.bat)  ，该文件调用 PowerShell 命令以提升其在主机上的权限。接下来，bat文件复制目录中的PowerShell可执行文件（powershell.exe），重命名并隐藏，亿华云最终使用它来执行base64编码的PowerShell内容 。

包含的 bat 文件的内容 (Cyble)

此代码解密 AES 加密和 GZip 压缩的 Base64 编码代码，该代码执行充当恶意软件加载程序的最终 PowerShell 代码。

解密解压代码 （Cyble）

加载程序从 Discord 服务器下载 Mars Stealer 的副本并将其放在主机上的 %LOCALAPPDATA% 上 。安装后
，恶意软件启动并开始从现在受感染的设备中窃取数据。源码下载

从 Discord (Cyble)下载 Mars Stealer

如何保持安全

用户下载加密货币钱包时
，务必确保使用的是官方下载门户 ，并且永远不要信任社交媒体或即时消息平台上提供的链接  。此外
，请注意 SEO 中毒和恶意 Google Ads 活动 ，它们会使恶意网站在 Google 搜索结果中的排名高于官方网站
，因此建议用户跳过所有标记为广告的搜索结果 。