.dmgMaccy.app.zipFacendo doppio clic, macOS apre i file .scpt in Script Editor per progettazione. La parte visibile del file mostra istruzioni con marchio che dicono all'utente di premere ⌘+R per "iniziare", mentre il codice dannoso effettivo è nascosto molto più in basso dopo un grande blocco di righe vuote . Il testo utilizza anche omoglifi greci e cirillici nella parola "Maccy" per eludere gli scanner basati su testo
.
pam_start, pam_authenticate, pam_end) senza alcuna attività visibile della shell ethereum-rpc.publicnode[.]com nella pratica Tutti i dati rubati vengono crittografati con ChaCha20-Poly1305 ed esfiltrati su HTTPS verso endpoint C2 (domini osservati: avenger-sync[.]live e avengerflow[.]com), avvolti in un involucro JSON MacOSapp1{"data":"..."} .
Prima di lanciare il payload, il dropper firma ad-hoc il bundle dell'applicazione falsa con codesign -fs - --deep. Il malware controlla anche la presenza di strumenti di debug e System Integrity Protection prima di procedere
.
Il payload di secondo stadio è inserito all'interno di un bundle chiamato Finder.app con l'identificatore del bundle com.apple.finder.monitor e l'icona genuina Finder.icns copiata da /System/Library/CoreServices/ . Quindi avvia
pbpaste per rubare i dati degli appunti, quindi Activity Monitor potrebbe mostrare un secondo processo Finder che esegue letture degli appunti — una forte anomalia .
La persistenza viene stabilita tramite Login Items (non LaunchAgents/LaunchDaemons) utilizzando sia l'API moderna SMAppService che l'API legacy LSSharedFileList, con il malware in bundle all'interno: com.apple.finder.monitor e com.apple.security.daemon (mascherato come Software Update) . Poiché il riquadro Login Items in Impostazioni di Sistema non mostra i percorsi completi, il malware appare come voci di sistema legittime
.
curl/osascript maccy.app, o tramite Homebrew / il repository GitHub ufficiale. Il vero progetto è open-source (licenza MIT) ed è gestito dallo sviluppatore Alexey Rodionov (Team Identifier MN3X4648SC) .scpt in Script Editor da un'immagine disco scaricata e premere Esegui. Nessuna app macOS legittima ti chiede di farlo com.apple.finder.monitor) che non hai aggiunto intenzionalmente