डबल-क्लिक करने पर, macOS .scpt फ़ाइलों को डिफ़ॉल्ट रूप से Script Editor में खोलता है। फ़ाइल का दिखाई देने वाला हिस्सा ब्रांडेड निर्देश दिखाता है जो उपयोगकर्ता को "शुरू करने" के लिए ⌘+R दबाने को कहता है, जबकि वास्तविक दुर्भावनापूर्ण कोड खाली लाइनों के एक बड़े ब्लॉक के बाद कहीं नीचे छिपा होता है ¹⁸। टेक्स्ट में "Maccy" शब्द में ग्रीक और सिरिलिक होमोग्लिफ्स का भी उपयोग किया जाता है ताकि टेक्स्ट-आधारित स्कैनर को धोखा दिया जा सके
²।
pam_start, pam_authenticate, pam_end) के माध्यम से स्थानीय रूप से वेरिफाई किया जाता है, जिसमें कोई दृश्य शेल गतिविधि नहीं होती ethereum-rpc.publicnode[.]com से कनेक्ट होते हुए देखा गया है सभी चुराए गए डेटा को ChaCha20-Poly1305 के साथ एन्क्रिप्ट किया जाता है और C2 एंडपॉइंट्स (देखे गए डोमेन: avenger-sync[.]live और avengerflow[.]com) को HTTPS पर एक्सफ़िल्ट्रेट किया जाता है, जो MacOSapp1{"data":"..."} JSON लिफाफे में लपेटा जाता है ¹।
पेलोड लॉन्च करने से पहले, ड्रॉपर codesign -fs - --deep। मैलवेयर आगे बढ़ने से पहले डिबगिंग टूल्स और सिस्टम इंटीग्रिटी प्रोटेक्शन की भी जाँच करता है
।
दूसरे चरण की पेलोड को Finder.app नामक बंडल के अंदर रखा जाता है, जिसका बंडल आइडेंटिफ़ायर com.apple.finder.monitor और /System/Library/CoreServices/ ¹ से कॉपी किया गया वास्तविक Finder.icns आइकन होता है। फिर यह क्लिपबोर्ड डेटा चुराने के लिए
pbpaste को चालू करता है, इसलिए एक्टिविटी मॉनिटर एक दूसरी Finder प्रक्रिया दिखा सकता है जो क्लिपबोर्ड रीड कर रही है — एक मजबूत विसंगति ।
पर्सिस्टेंस Login Items (LaunchAgents/LaunchDaemons नहीं) के माध्यम से स्थापित किया जाता है, जो आधुनिक SMAppService API और विरासत LSSharedFileList API दोनों का उपयोग करता है, जिसमें मैलवेयर बंडल होता है: com.apple.finder.monitor और com.apple.security.daemon (सॉफ़्टवेयर अपडेट के रूप में प्रच्छन्न) ¹²। चूंकि सिस्टम सेटिंग्स में Login Items फलक पूर्ण पथ नहीं दिखाता है, मैलवेयर वैध सिस्टम एंट्री के रूप में दिखाई देता है
²⁰।
curl/osascript-आधारित डाउनलोडर की तुलना में कम प्रोसेस-क्रिएशन आर्टिफैक्ट उत्पन्न करता है maccy.app से, या Homebrew / आधिकारिक GitHub रिपॉजिटरी के माध्यम से डाउनलोड करें। असली प्रोजेक्ट ओपन-सोर्स (MIT लाइसेंस) है और डेवलपर एलेक्सी रोडियोनोव (टीम आइडेंटिफ़ायर MN3X4648SC) द्वारा चलाया जाता है .scpt फ़ाइलों को Script Editor में न खोलें और Run न दबाएं। कोई भी वैध macOS ऐप आपसे ऐसा करने के लिए नहीं कहता com.apple.finder.monitor) की जाँच करें जिन्हें आपने जानबूझकर नहीं जोड़ा है