网络安全公司Malwarebytes在本周一(10月29)发布的消息称,其论坛成员1vladimir注意到一款名为“Coin Ticker”的Mac应用程序在上周末表现出了一些可疑的行为。Malwarebytes的Mac&Mobile总监Thomas Reed在经过分析后发现,它似乎隐蔽地安装了两个完全不同的后门。
从表面上看,Coin Ticker似乎是一款合法的Mac应用程序,可以帮用户实时监控各种加密货币(包括比特币、以太坊和门罗币)的市场价格。在安装完成之后,会在菜单栏中显示一个图标,提供有关加密货币当前价格的信息。
然而,该应用程序被Thomas Reed证实会在运行时从一个 Github存储库下载并安装两个适用于macOS的自定义版本的开源后门:EggShell和EvilOSX,而目前这个Github存储库已经离线。
首先,它将使用以下命令来下载EggShell后门。
在下载完成之后,它将创建一个启动代理,当用户登录Mac时,EggShell后门会自行启动。
然后,它将继续使用一个经混淆处理的脚本来下载EvilOSX后门。在执行下载时,它还将发送各种配置选项,这些选项将自动添加到下载的后门中。
同样,它也将创建一个启动代理,以便EvilOSX后门能够在用户登录Mac时自行启动。
Thomas Reed表示,目前尚不清楚Coin Ticker应用程序是纯粹出于恶意目的而设计的,还是遭到了恶意攻击。然而,Coin Ticker的网站没有留下任何联系方式,只包含一个下载按钮,这使得Thomas Reed相信它是一个纯粹用于分发木马的shell。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。