研究人员发现 macOS 系统中一个伪装为加密货币 ticker(股票价格收报机)的木马 CoinTicker 正在用户设备上安装后门。
成功安装后,CoinTicker 应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到 macOS 菜单栏,以实时更新当前价格,如下图所示:
CoinTicker 应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte 将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的 shell 和 python 脚本,python 和 shell 脚本的执行会下载和安装这两个后门。
Malwarebyte 分析师称:恶意软件加载时,应用会下载和安装两个开源后门组件 EvilOSX 和 EggShell。然后木马会从 Github 上下载 EggShell 和 EvilOSX后门的定制版本。首先,用下面的命令下载 EggShell 后门:
下载后,会创建一个启动代理,当用户登陆到mac系统中后自动开启 EggShell 后门。
之后会用混淆的脚本来下载 EvilOSX 后门。在执行下载时,恶意软件会发送不同的配置选项,这些配置选项自动加入到下载的后门中:
同样也会为 EvilOSX 后门创建自动启动的启动代理。
目前尚不清楚 Coin Ticker 就是一款恶意软件,还是被攻击者入侵了。Coin Ticker 下载的 web 站点也没有任何联系信息,只有一个下载按钮,研究人员猜测这只是为了传播木马制作的 shell。
