.dmgMaccy.app.zipKhi nhấp đúp, macOS sẽ mở file .scpt trong Script Editor theo thiết kế mặc định. Phần hiển thị của file đưa ra các hướng dẫn có thương hiệu, yêu cầu người dùng nhấn ⌘+R để "bắt đầu", trong khi mã độc thực sự được ẩn ở phía dưới sau một khối lớn các dòng trống . Văn bản này còn sử dụng các ký tự đồng âm (homoglyphs) từ bảng chữ cái Hy Lạp và Cyrillic trong từ "Maccy" để qua mặt các công cụ quét dựa trên văn bản
.
Phần mềm đánh cắp thông tin giai đoạn hai được viết bằng Rust (dạng Mach-O) thu thập một loạt dữ liệu nhạy cảm :
pam_start, pam_authenticate, pam_end) mà không có bất kỳ hoạt động shell nào hiển thị ethereum-rpc.publicnode[.]com trong thực tế Tất cả dữ liệu bị đánh cắp đều được mã hóa bằng ChaCha20-Poly1305 và gửi qua HTTPS đến các máy chủ C2 (tên miền đã được ghi nhận: avenger-sync[.]live và avengerflow[.]com), được bọc trong một cấu trúc JSON MacOSapp1{"data":"..."} .
Trước khi khởi chạy tải trọng, dropper ký ad-hoc lên gói ứng dụng giả mạo bằng codesign -fs - --deep. Malware cũng kiểm tra các công cụ gỡ lỗi và System Integrity Protection trước khi tiến hành
.
Tải trọng giai đoạn hai được đặt bên trong một gói có tên Finder.app với mã định danh gói com.apple.finder.monitor và biểu tượng Finder.icns thật được sao chép từ /System/Library/CoreServices/ . Sau đó, nó tạo ra tiến trình
pbpaste để đánh cắp dữ liệu clipboard. Do đó, Activity Monitor có thể hiển thị một tiến trình Finder thứ hai đang thực hiện các thao tác đọc clipboard – một điểm bất thường mạnh mẽ .
Cơ chế tồn tại (persistence) được thiết lập thông qua Login Items (không phải LaunchAgents/LaunchDaemons) bằng cách sử dụng cả API SMAppService hiện đại và API LSSharedFileList kế thừa, với malware được đóng gói bên trong: com.apple.finder.monitor và com.apple.security.daemon (giả dạng Cập nhật Phần mềm) . Vì ngăn Login Items trong Cài đặt Hệ thống không hiển thị đường dẫn đầy đủ, malware sẽ xuất hiện như các mục hệ thống hợp pháp
.
curl/osascript maccy.app, hoặc qua Homebrew/kho GitHub chính thức. Dự án thật là mã nguồn mở (giấy phép MIT) và được điều hành bởi nhà phát triển Alexey Rodionov (Mã định danh Nhóm MN3X4648SC) .scpt trong Script Editor từ một ảnh đĩa đã tải xuống và nhấn Run. Không có ứng dụng macOS hợp pháp nào yêu cầu bạn làm điều này com.apple.finder.monitor) mà bạn không cố tình thêm vào không