Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Злоумышленники используют копию сайта Atomic Wallet для распространения вредоноса Mars Stealer (http://txgate.io:443/showthread.php?t=11787)

Artifact 01-12-2025 03:16 AM

В этой вредоносной кампании Mars Stealer ведет себя намного более скрытно.
https://www.securitylab.ru/upload/ib...deffcbb735.png
Фальшивый веб-сайт был обнаружен исследователем под ником Dee в понедельник и до сих пор не заблокирован, распространяя копии Mars Stealer.
https://lh4.googleusercontent.com/s-...uYCEp0gVcvasgc
Настоящий сайт слева, фальшивый справа.
Видно, что фейковый сайт не является точной копией первого, но использует официальные логотипы, темы, изображения и структуру настоящего сайта. На нем даже есть контактная форма, адрес электронной почты и раздел FAQ. Жертва, которая ранее не видела официальный сайт Atomic Wallet, легко купится на красивую фальшивку.
Посетителям, пытающимся скачать криптовалютный кошелек, доступны три кнопки:<ul><li>Скачать для Windows. При нажатии на эту кнопку скачается ZIP-архив под названием “Atomic Wallet.zip", который содержит вредоносный файл, заражающий устройство жертвы Mars Stealer;</li>
</ul><ul><li>Скачать в Apple Store. При нажатии на эту кнопку ничего не происходит;</li>
</ul><ul><li>Скачать в Google Play. При нажатии на эту кнопку жертва будет перенаправлена на официальное приложение Atomic Wallet в Google Play.</li>
</ul>https://lh3.googleusercontent.com/1Q...dPMEIg-2aNXzzg
Страница загрузки на фейковом сайте.
ZIP-архив содержит в себе батник под названием “AtomicWallet-Setup.bat”, который запускает PowerShell-команду, повышающую привилегии на зараженном устройстве. Далее bat-файл копирует исполняемый файл PowerShell (powershell.exe) в каталоге, переименовывает и скрывает его, а затем использует для расшифровки содержимого, закодированного в base64.
https://lh3.googleusercontent.com/iD...9ubmSDt2f0Ba-o
Содержимое bat-файла.
Расшифрованный код выполняет конечный PowerShell-код, выступающий в качестве дроппера вредоносной программы.
https://lh5.googleusercontent.com/0e...Em6Gwmh_kI8FG0
Код для расшифровки содержимого bat-файла.
Дроппер загружает копию Mars Stealer с сервера Discord и выгружает ее в %LOCALAPPDATA% на хост-машину. Установившись в системе жертвы, вредонос запускался и начинал красть данные с зараженного устройства.
Специалисты рекомендуют при загрузке криптовалютных кошельков убедиться, что вы используете официальный портал проекта. Кроме того, рекомендуется остерегаться рекламы в соцсетях и Google.


All times are GMT. The time now is 11:34 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.