网络安全公司Malwarebytes在本周一（10月29）发布的消息称，其论坛成员1vladimir注意到一款名为“Coin Ticker”的Mac应用程序在上周末表现出了一些可疑的行为。Malwarebytes的Mac＆Mobile总监Thomas Reed在经过分析后发现，它似乎隐蔽地安装了两个完全不同的后门。

从表面上看，Coin Ticker似乎是一款合法的Mac应用程序，可以帮用户实时监控各种加密货币（包括比特币、以太坊和门罗币）的市场价格。在安装完成之后，会在菜单栏中显示一个图标，提供有关加密货币当前价格的信息。

然而，该应用程序被Thomas Reed证实会在运行时从一个 Github存储库下载并安装两个适用于macOS的自定义版本的开源后门：EggShell和EvilOSX，而目前这个Github存储库已经离线。

首先，它将使用以下命令来下载EggShell后门。

在下载完成之后，它将创建一个启动代理，当用户登录Mac时，EggShell后门会自行启动。

然后，它将继续使用一个经混淆处理的脚本来下载EvilOSX后门。在执行下载时，它还将发送各种配置选项，这些选项将自动添加到下载的后门中。

同样，它也将创建一个启动代理，以便EvilOSX后门能够在用户登录Mac时自行启动。

Thomas Reed表示，目前尚不清楚Coin Ticker应用程序是纯粹出于恶意目的而设计的，还是遭到了恶意攻击。然而，Coin Ticker的网站没有留下任何联系方式，只包含一个下载按钮，这使得Thomas Reed相信它是一个纯粹用于分发木马的shell。