08/08/22
Фальшивый веб-сайт был обнаружен исследователем под ником Dee в понедельник.
.png?width=600&name=pasted%20image%200%20(24).png)
Видно, что поддельный сайт не является точной копией первого, но использует официальные логотипы, темы, изображения и структуру настоящего сайта. На нем даже есть контактная форма, адрес электронной почты и раздел FAQ. Жертва, которая ранее не видела официальный сайт Atomic Wallet, легко купится на красивую фальшивку.
Посетителям, пытающимся скачать криптовалютный кошелек, доступны три кнопки:
- Скачать для Windows. При нажатии на эту кнопку скачается ZIP-архив под названием “Atomic Wallet.zip", который содержит вредоносный файл, заражающий устройство жертвы Mars Stealer;
- Скачать в Apple Store. При нажатии на эту кнопку ничего не происходит;
- Скачать в Google Play. При нажатии на эту кнопку жертва будет перенаправлена на официальное приложение Atomic Wallet в Google Play.
Дроппер загружает копию Mars Stealer с сервера Discord и выгружает ее в %LOCALAPPDATA% на хост-машину. Установившись в системе жертвы, вредонос запускался и начинал красть данные с зараженного устройства.
Специалисты рекомендуют при загрузке криптовалютных кошельков убедиться, что вы используете официальный портал проекта. Кроме того, рекомендуется остерегаться рекламы в соцсетях и Google.
