Maccy.app.zipعند النقر المزدوج على الملف، يفتحه macOS في تطبيق Script Editor بشكل افتراضي. يُظهر الجزء المرئي من الملف تعليمات تبدو رسمية تطلب من المستخدم الضغط على ⌘+R لبدء الاستخدام، بينما يتم إخفاء الكود الخبيث الحقيقي في أسفل الملف بعد مجموعة كبيرة من الأسطر الفارغة . يستخدم النص أيضًا حروفًا هوموغليفية (متشابهة الشكل) من اليونانية والسيريلية في كلمة "Maccy" لخداع برامج المسح النصي
.
تقوم الحمولة الثانية من البرنامج الخبيث، وهي ملف تنفيذي من نوع Mach-O مكتوب بلغة Rust، بجمع مجموعة واسعة من البيانات الحساسة :
pam_start، pam_authenticate، pam_end) دون أي نشاط ظاهر في الطرفية ethereum-rpc.publicnode[.]com يتم تشفير جميع البيانات المسروقة باستخدام ChaCha20-Poly1305 وإرسالها عبر HTTPS إلى نقاط نهاية C2 (النطاقات المرصودة: avenger-sync[.]live و avengerflow[.]com)، ملفوفة في هيكل JSON: MacOSapp1{"data":"..."} .
قبل تشغيل الحمولة، يقوم البرنامج الخبيث (dropper) بتوقيع حزمة التطبيق المزيفة توقيعًا مؤقتًا (ad-hoc) باستخدام الأمر codesign -fs - --deep. يتحقق البرنامج أيضًا من وجود أدوات التصحيح ومن Integrity Protection للنظام قبل المتابعة
.
يتم وضع الحمولة الثانية داخل حزمة باسم Finder.app مع معرف الحزمة com.apple.finder.monitor وأيقونة Finder.icns الحقيقية المنسوخة من /System/Library/CoreServices/ . ثم تقوم بتشغيل
pbpaste لسرقة بيانات الحافظة، لذلك قد يُظهر مراقب النشاط (Activity Monitor) وجود عملية Finder ثانية تقوم بقراءات للحافظة - وهذا شذوذ قوي يستدعي الانتباه .
يتم تحقيق الثبات (Persistence) عبر عناصر تسجيل الدخول (Login Items) (وليس LaunchAgents/LaunchDaemons) باستخدام كل من واجهة برمجة التطبيقات الحديثة SMAppService وواجهة LSSharedFileList القديمة، مع حزم البرامج الخبيثة تحت أسماء: com.apple.finder.monitor و com.apple.security.daemon (متخفية في شكل تحديث برمجي) . نظرًا لأن جزء عناصر تسجيل الدخول في إعدادات النظام لا يُظهر المسارات الكاملة، تظهر البرامج الخبيثة كإدخالات نظام شرعية
.
curl/osascript التقليدية maccy.app، أو عبر Homebrew / مستودع GitHub الرسمي. المشروع الأصلي هو مفتوح المصدر (رخصة MIT) ويديره المطور Alexey Rodionov (معرف الفريق MN3X4648SC) .scpt في Script Editor من صورة قرص تم تنزيلها وتضغط على تشغيل. لا يوجد تطبيق macOS شرعي يطلب منك فعل ذلك com.apple.finder.monitor) التي لم تقم بإضافتها بنفسك