Kullanıcı sahte siteyi ziyaret ettiğinde, içinde Maccy.scpt adında derlenmiş bir AppleScript dosyası bulunan bir disk imajı (.dmg) indiriliyor . Orijinal Maccy hiçbir zaman DMG olarak dağıtılmamıştır; yalnızca
Maccy.app.zip olarak sunulur .
Kullanıcı bu dosyaya çift tıkladığında, macOS varsayılan olarak .scpt dosyalarını Script Editor uygulamasında açar. Dosyanın görünen kısmı, kullanıcıya "başlamak" için ⌘+R tuşlarına basmasını söyleyen markalı talimatları gösterirken, asıl kötü amaçlı kod, büyük bir boş satır bloğunun altına gizlenmiştir . Ayrıca metin, metin tabanlı tarayıcıları atlatmak için "Maccy" kelimesinde Yunan ve Kiril alfabesindeki eşsesli (homoglif) karakterler kullanır
.
pam_start, pam_authenticate, pam_end) görünür bir Terminal etkinliği olmadan doğrulanır ethereum-rpc.publicnode[.]com adresine bağlandığı gözlemlenmiştir Çalınan tüm veriler ChaCha20-Poly1305 ile şifrelenir ve bir MacOSapp1{"data":"..."} JSON zarfına sarılarak HTTPS üzerinden C2 uç noktalarına (gözlemlenen alan adları: avenger-sync[.]live ve avengerflow[.]com) sızdırılır .
Yükü başlatmadan önce, bırakıcı (dropper) sahte uygulama paketine codesign -fs - --deep. Kötü amaçlı yazılım ayrıca devam etmeden önce hata ayıklama araçlarını ve Sistem Bütünlüğü Koruması'nı (SIP) kontrol eder
.
İkinci aşama yükü, Finder.app adlı bir paketin içine, com.apple.finder.monitor paket tanımlayıcısıyla ve /System/Library/CoreServices/ konumundan kopyalanan gerçek Finder.icns simgesiyle yerleştirilir . Ardından pano verilerini çalmak için
pbpaste'i çalıştırır, bu nedenle Etkinlik Monitörü'nde pano okuma işlemi yapan ikinci bir Finder süreci görülebilir ki bu güçlü bir anormalliktir .
Kalıcılık (persistence), hem modern SMAppService API'si hem de eski LSSharedFileList API'si kullanılarak Oturum Açma Öğeleri (Login Items) aracılığıyla sağlanır (LaunchAgents/LaunchDaemons değil). Kötü amaçlı yazılım şu isimlerle paketlenir: com.apple.finder.monitor ve com.apple.security.daemon (Yazılım Güncelleme kılığında) . Sistem Ayarları'ndaki Oturum Açma Öğeleri bölmesi tam yolları göstermediği için kötü amaçlı yazılım meşru sistem girdileri olarak görünür
.
curl/osascript tabanlı indiricilere kıyasla daha az süreç oluşturma izi bırakır maccy.app alan adından, Homebrew üzerinden veya resmi GitHub deposundan indirin. Gerçek proje açık kaynaklıdır (MIT lisansı) ve geliştirici Alexey Rodionov (Takım Kimliği MN3X4648SC) tarafından yürütülmektedir .scpt dosyalarını Script Editor'da asla açıp Çalıştır'a basmayın. Hiçbir meşru macOS uygulaması sizden bunu yapmanızı istemez com.apple.finder.monitor) şüpheli girişleri arayın