Các nhà nghiên cứu cho biết chuỗi lây nhiễm bắt đầu khi người dùng Macbook truy cập vào một trang web để tìm kiếm phần mềm vi phạm bản quyền. Trên trang web, họ có thể tải xuống một tệp có tiêu đề "CleanMyMacCrack.dmg" vì tin rằng tệp này là phiên bản bẻ khóa của phần mềm dọn dẹp máy Macbook, CleanMyMac.
Sau khi khởi chạy tệp có đuôi .dmg đó trên máy tính của họ, tệp Mach-O sẽ được thực thi, tải xuống AppleScript có khả năng đánh cắp thông tin nhạy cảm trong Macbook.
Phần mềm độc hại này được hacker lập trình để thực hiện các nhiệm vụ như: Thu thập và lưu trữ tên người dùng của chủ sở hữu máy Mac; Thiết lập các thư mục tạm thời để lưu trữ dữ liệu bị đánh cắp trước khi lọc; Trích xuất lịch sử duyệt web, cookie, mật khẩu đã lưu từ trình duyệt; Xác định và truy cập các thư mục phổ biến chứa ví tiền điện tử; Sao chép dữ liệu chuỗi khóa macOS, dữ liệu Apple Notes và cookie từ Safari; Thu thập thông tin chung của người dùng, chi tiết hệ thống và siêu dữ liệu; Lọc tất cả dữ liệu bị đánh cắp.
Hãng bảo mật Moonlock tuyên bố rằng phần mềm độc hại macOS nói trên dường như có liên quan đến hacker người Nga Rodrigo4. Hacker này đang đăng tin chiêu mộ những kẻ cùng chí hướng trên diễn đàn ngầm XSS.
Để tránh bị phần mềm độc hại tấn công, các chuyên gia của Moonlock khuyến cáo người dùng Macbook chỉ tải xuống phần mềm từ các nguồn đáng tin cậy, luôn cập nhật hệ điều hành và tất cả các ứng dụng cũng như sử dụng phần mềm bảo mật của các hãng nổi tiếng.
