Maccy.app.zipNär filen dubbelklickas på öppnas .scpt-filer i Script Editor som standard. Den synliga delen av filen visar instruktioner med Maccy-design som uppmanar användaren att trycka på ⌘+R för att ”komma igång”, medan den faktiska skadliga koden är gömd långt nedanför efter en stor mängd tomma rader . Texten använder också grekiska och kyrilliska homoglyfer i ordet ”Maccy” för att lura textbaserade skannrar
.
pam_start, pam_authenticate, pam_end) utan någon synlig shell-aktivitet ethereum-rpc.publicnode[.]com i praktiken All stulen data krypteras med ChaCha20-Poly1305 och exfiltreras över HTTPS till C2-slutpunkter (observerade domäner: avenger-sync[.]live och avengerflow[.]com), inslagen i ett MacOSapp1{"data":"..."} JSON-kuvert .
Innan payloaden lanseras signerar droppern det falska applikationspaketet ad hoc med codesign -fs - --deep. Malwaret kontrollerar också efter felsökningsverktyg och System Integrity Protection innan det fortsätter
.
Den andra fasens payload placeras i ett paket med namnet Finder.app med buntidentifieraren com.apple.finder.monitor och den äkta Finder-ikonen från /System/Library/CoreServices/ . Den startar sedan
pbpaste för att stjäla urklippsdata, vilket innebär att Aktivitetsövervakaren kan visa en andra Finder-process som utför urklippsläsningar – en stark avvikelse .
Persistens upprättas via Inloggningsobjekt (inte LaunchAgents/LaunchDaemons) med både det moderna SMAppService-API:et och det äldre LSSharedFileList-API:et. Malwaret buntas in i com.apple.finder.monitor och com.apple.security.daemon (som utger sig för att vara programuppdatering) . Eftersom panelen för inloggningsobjekt i systeminställningarna inte visar fullständiga sökvägar framstår malwaret som legitima systemposter
.
curl/osascript-baserade nedladdare maccy.app, eller via Homebrew / det officiella GitHub-förrådet. Det riktiga projektet är öppen källkod (MIT-licens) och drivs av utvecklaren Alexey Rodionov (Team Identifier MN3X4648SC) .scpt-filer i Script Editor från en nedladdad diskavbildning och tryck på Run. Ingen legitim macOS-app ber dig göra detta com.apple.finder.monitor) som du inte har lagt till medvetet