研究人员发现macOS系统中一个伪装为加密货币ticker（股票价格收报机）的木马CoinTicker正在用户设备上安装后门。

成功安装后，CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏，以实时更新当前价格，如下图所示。

CoinTicker木马应用

CoinTicker应用在后台会秘密下载两个后门，这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir，在木马执行时会连接到远程主机，并下载大量的shell和python脚本，python和shell脚本的执行会下载和安装这两个后门。

Malwarebyte分析师称：恶意软件加载时，应用会下载和安装两个开源后门组件EvilOSX和EggShell。然后木马会从Github上下载EggShell和EvilOSX后门的定制版本。首先，用下面的命令下载EggShell后门：

下载EggShell

下载后，会创建一个启动代理，当用户登陆到mac系统中后自动开启EggShell后门。

创建启动代理

之后会用混淆的脚本来下载EvilOSX后门。在执行下载时，恶意软件会发送不同的配置选项，这些配置选项自动加入到下载的后门中。

用自定义配置下载EvilOSX

同样也会为EvilOSX后门创建自动启动的启动代理。

目前尚不清楚Coin Ticker就是一款恶意软件，还是被攻击者入侵了。Coin Ticker下载的web站点也没有任何联系信息，只有一个下载按钮，研究人员猜测这只是为了传播木马制作的shell。