網路安全公司Malwarebytes在本週一（10月29）釋出的訊息稱，其論壇成員1vladimir注意到一款名為“Coin Ticker”的Mac應用程式在上週末表現出了一些可疑的行為。Malwarebytes的Mac＆Mobile總監Thomas Reed在經過分析後發現，它似乎隱蔽地安裝了兩個完全不同的後門。

從表面上看，Coin Ticker似乎是一款合法的Mac應用程式，可以幫使用者實時監控各種加密貨幣（包括比特幣、以太坊和門羅幣）的市場價格。在安裝完成之後，會在選單欄中顯示一個圖示，提供有關加密貨幣當前價格的資訊。

然而，該應用程式被Thomas Reed證實會在執行時從一個 Github儲存庫下載並安裝兩個適用於macOS的自定義版本的開源後門：

首先，它將使用以下命令來下載EggShell後門。

在下載完成之後，它將建立一個啟動代理，當用戶登入Mac時，EggShell後門會自行啟動。

然後，它將繼續使用一個經混淆處理的指令碼來下載EvilOSX後門。在執行下載時，它還將傳送各種配置選項，這些選項將自動新增到下載的後門中。

同樣，它也將建立一個啟動代理，以便EvilOSX後門能夠在使用者登入Mac時自行啟動。

Thomas Reed表示，目前尚不清楚Coin Ticker應用程式是純粹出於惡意目的而設計的，還是遭到了惡意攻擊。然而，Coin Ticker的網站沒有留下任何聯絡方式，只包含一個下載按鈕，這使得Thomas Reed相信它是一個純粹用於分發木馬的shell。