Quando a vítima visita o site falso, recebe uma imagem de disco (.dmg) contendo um arquivo AppleScript compilado chamado Maccy.scpt . O Maccy legítimo nunca distribuiu um DMG; ele é fornecido apenas como
Maccy.app.zip .
Ao ser clicado duas vezes, o macOS abre arquivos .scpt no Script Editor por padrão. A parte visível do arquivo mostra instruções com a marca do aplicativo, dizendo ao usuário para pressionar ⌘+R para "começar", enquanto o código malicioso real está escondido bem abaixo, após um grande bloco de linhas em branco . O texto também usa homóglifos gregos e cirílicos na palavra "Maccy" para enganar scanners baseados em texto
.
O infostealer de segundo estágio, um executável Mach-O escrito em Rust, coleta uma ampla gama de dados confidenciais :
pam_start, pam_authenticate, pam_end) sem nenhuma atividade visível no Terminal ethereum-rpc.publicnode[.]com Todos os dados roubados são criptografados com ChaCha20-Poly1305 e exfiltrados via HTTPS para endpoints C2 (domínios observados: avenger-sync[.]live e avengerflow[.]com), encapsulados em um envelope JSON MacOSapp1{"data":"..."} .
Antes de lançar o payload, o dropper assina ad-hoc o pacote do aplicativo falso com codesign -fs - --deep. O malware também verifica a presença de ferramentas de depuração e a Integridade do Sistema (SIP) antes de prosseguir
.
O payload do segundo estágio é colocado dentro de um pacote chamado Finder.app com o identificador com.apple.finder.monitor e o ícone genuíno do Finder (Finder.icns) copiado de /System/Library/CoreServices/ . Em seguida, ele inicia o
pbpaste para roubar dados da área de transferência, então o Monitor de Atividade pode mostrar um segundo processo do Finder realizando leituras da área de transferência — uma forte anomalia .
A persistência é estabelecida através de Itens de Login (não LaunchAgents/LaunchDaemons) usando tanto a API moderna SMAppService quanto a API legada LSSharedFileList, com o malware incluído em: com.apple.finder.monitor e com.apple.security.daemon (disfarçado de Atualização de Software) . Como o painel de Itens de Login nas Configurações do Sistema não mostra os caminhos completos, o malware aparece como entradas legítimas do sistema
.
curl/osascript maccy.app, ou através do Homebrew / repositório oficial do GitHub. O projeto real é open-source (licença MIT) e mantido pelo desenvolvedor Alexey Rodionov (Team Identifier MN3X4648SC) .scpt no Script Editor de uma imagem de disco baixada e pressione Executar. Nenhum aplicativo macOS legítimo pede que você faça isso com.apple.finder.monitor) que você não adicionou intencionalmente