火星盗窃者恶意软件通过假冒原子钱包网站传
Mars Stealer恶意软件通过假网站传播
关键要点
- Mars Stealer恶意软件的传播 :黑客通过假冒Atomic Wallet网站,分发Mars Stealer信息窃取恶意软件。
- 躲避检测措施 :该攻击活动涉及使用压缩文件和PowerShell命令来升级权限,并隐蔽地执行恶意代码。
- 假网站特点 :虽然假网站并未完全仿冒真实的Atomic Wallet,但使用了官方标识和结构,可能会误导用户。
根据的报告,恶意行为者正在通过假冒的去中心化钱包和加密货币交换平台AtomicWallet的网站,分发Mars Stealer恶意软件。
传播过程分析
来自Cyble的报告显示,Mars Stealer的传播采用了一系列躲避检测的措施。这些措施包括:
| 组件 | 说明 |
|---|---|
| ZIP 文件 | 包含一个AtomicWallet-Setup.bat批处理文件,催促提权。 |
| PowerShell 命令 | 通过PowerShell命令执行,最终载入恶意代码。 |
| 隐藏执行 | PowerShell可执行文件在执行前被复制、更名并隐藏。 |
| 下载恶意软件 | 载入的PowerShell代码会从Discord服务器下载Mars Stealer副本。 |
假网站的误导性
尽管该假网站未完全精确复制真实的AtomicWallet,其使用的官方标识、营销图片、主题和结构以及联系表单、常见问题和电子邮箱,可能会对不知情的用户造成误导,使其误认为这是真正的网站。
这种恶意软件传播策略强调了网络安全的重要性,用户在访问网站时应保持警惕,确保所使用的网站是真实的,并避免下载任何可疑的文件。
Recent Posts
注册优惠
Leave a Reply