Kripto para birimi değişim portalı olarak da çalışan popüler bir merkezi olmayan cüzdan olan Atomik Cüzdan'ın resmi portalını taklit eden sahte bir web sitesi, gerçekte Mars Stealer bilgi çalma kötü amaçlı yazılımlarının kopyalarını dağıtmaktır.
Sahte web sitesi Pazartesi günü DEE olarak bilinen bir kötü amaçlı yazılım araştırmacısı tarafından açıklandı, ancak bunu yazarken, söz konusu kötü amaçlı yazılımların kopyalarını sunuyor.
Gerçek ve sahte web sitelerini yan yana görmek, ikincisinin birincisinin sadık bir kopyası olmadığını ortaya koyuyor, ancak yine de resmi logoları, temaları, pazarlama görüntülerini ve yapıyı kullanıyor. Sahte sitede bir kişi formu, e -posta adresi ve SSS bölümü bile bulunur.
Bununla birlikte, meşru atom cüzdan bölgesine aşina olmayanlar, imposterın otantik olduğuna kolayca inanabilirler.
İnsanların orada nasıl bittiğine gelince, sosyal medyada kötü niyetle, çeşitli platformlarda doğrudan mesajlar, SEO zehirlenmesi veya spam e -postası olabilir.
Yazılımı indirmeye çalışan ziyaretçilere Windows, iOS ve Android sürümleri için üç düğme sunulur.
İOS'a tıklamak hiçbir şey yapmaz ve Google Play düğmesini tıklamak, Play Store'daki gerçek Atomik Cüzdan uygulamasına yönlendirir.
Ancak, Windows düğmesine tıklamak, Mars Stealer enfeksiyonunu yükleyen kötü amaçlı kod içeren “Atomic cüzdan.zip” adlı bir zip dosyası indirecektir.
Mars Stealer, web tarayıcılarında depolanan hesap kimlik bilgilerini, kripto para birimi uzantılarını ve cüzdanları ve iki faktörlü kimlik doğrulama eklentilerini hedefleyen yakın zamanda ortaya çıkan bir Info-Starer'dır.
Mart ayında, Mars Stealer'ın OpenOffice markasını kötüye kullanan Google reklamlarında Malvertizing kampanyaları tarafından dağıtıldığını bildirdik.
Dün Cyble tarafından yayınlanan bir teknik rapora göre, devam eden Mars Stealer kampanyasında teslimat mekanizması, tespitten kaçınmak için kayda değer bir çaba ile karakterize ediliyor.
ZIP, ana bilgisayardaki ayrıcalıklarını yükseltmek için bir PowerShell komutunu çağıran bir toplu dosya (atomicwallet-setup.bat) içerir.
Ardından, BAT dosyası PowerShell yürütülebilir dosyasını (PowerShell.exe) dizine kopyalar, yeniden adlandırır ve gizler ve sonunda Base64 kodlu bir PowerShell içeriğini yürütmek için kullanır.
Bu kod, kötü amaçlı yazılım yükleyicisi olarak hareket eden son PowerShell kodunu yürüten AES şifreli ve GZIP sıkıştırılmış Base64 kodlu bir kodun şifresini çözer.
Loader, bir Discord sunucusundan Mars Stealer'ın bir kopyasını indirir ve ana makinede % localAppData % 'ı bırakır. Kurulumdan sonra, kötü amaçlı yazılım şimdi enfekte olmuş cihazdan veri çalmaya başlar ve başlar.
Kripto para birimi cüzdanlarını indirirken, projenin resmi indirme portalını kullandığınızdan ve sosyal medyada veya anlık mesajlaşma platformlarında verilen bağlantılara asla güvenmemeniz çok önemlidir.
Ayrıca, kötü amaçlı web sitelerinin Google arama sonuçlarındaki resmi sitelerden daha üst sıralarda yer alabilen SEO zehirlenmesine ve kötü amaçlı Google reklam kampanyalarına dikkat edin, bu nedenle reklam olarak işaretlenmiş tüm sonuçları atlayın.
Hacker forumlarında yayınlanan pas tabanlı info-stealer için kaynak kodu
Yeni Metamask Kimlik Yardım Kampanyası, Passfrass'ı çalmak için KYC Lures kullanıyor
Zehirlenmiş CCleaner Arama Sonuçları Bilgi Çalma Kötü Yazılım Yayılıyor
Binlerce Solana Cüzdan Bilinmeyen istismar kullanılarak saldırıda boşaltıldı
Hackerlar Blockchain Müzik Platformu'ndan 6 milyon dolar çalıyor Audius
Kaynak: Bleeping Computer