1. 程式人生 > >加密貨幣投資者切注意:一款Mac應用程式被指會偷裝後門

加密貨幣投資者切注意:一款Mac應用程式被指會偷裝後門

網路安全公司Malwarebytes在本週一(10月29)釋出的訊息稱,其論壇成員1vladimir注意到一款名為“Coin Ticker”的Mac應用程式在上週末表現出了一些可疑的行為。Malwarebytes的Mac&Mobile總監Thomas Reed在經過分析後發現,它似乎隱蔽地安裝了兩個完全不同的後門。

從表面上看,Coin Ticker似乎是一款合法的Mac應用程式,可以幫使用者實時監控各種加密貨幣(包括比特幣、以太坊和門羅幣)的市場價格。在安裝完成之後,會在選單欄中顯示一個圖示,提供有關加密貨幣當前價格的資訊。

然而,該應用程式被Thomas Reed證實會在執行時從一個 Github儲存庫下載並安裝兩個適用於macOS的自定義版本的開源後門:

EggShellEvilOSX,而目前這個Github儲存庫已經離線。

首先,它將使用以下命令來下載EggShell後門。

在下載完成之後,它將建立一個啟動代理,當用戶登入Mac時,EggShell後門會自行啟動。

然後,它將繼續使用一個經混淆處理的指令碼來下載EvilOSX後門。在執行下載時,它還將傳送各種配置選項,這些選項將自動新增到下載的後門中。

同樣,它也將建立一個啟動代理,以便EvilOSX後門能夠在使用者登入Mac時自行啟動。

Thomas Reed表示,目前尚不清楚Coin Ticker應用程式是純粹出於惡意目的而設計的,還是遭到了惡意攻擊。然而,Coin Ticker的網站沒有留下任何聯絡方式,只包含一個下載按鈕,這使得Thomas Reed相信它是一個純粹用於分發木馬的shell。