Das Archiv nutzt unverdächtige Dateiendungen wie .txt für Textdateien oder .jpg für Bilder. Allerdings weist die Dateiendung ein Leerzeichen am Ende auf, was dazu führt, daß sie mit der App Terminal geöffnet wird und nicht mit der Bildvorschau oder dem Texteditor. Weil das Archiv auch Icons für ,jpg- und .txt-Dateien enthält, kann man auch am Dateisymbol nicht erkennen, dass es sich um Schadsoftware handeln könnte.
Der Doppelklick auf die ungefährliche daherkommenden Bild- oder Testdatei öffnet ein Terminal-Fenster und führt dann den Schadcode aus. Das passiert allerdings nur, wenn die Sicherheitsfunktion Gatekeeper nicht aktiviert ist. Ansonsten erkennt diese, dass die ausführbare Datei nicht von Apple signiert ist und verhindert deshalb die Installation des Schädlings.
Ohne aktiven Gatekeeper wird aber im Hintergrund die Backdoor „icloudsyncd“ heruntergeladen und gestartet. Die fügt dann einen Eintrag zum Verzeichnis „LaunchAgents“ hinzu – was die Hintertür dann auch nach einem Neustart des Systems aktiv macht. Danach stellt die Backdoor eine Verbindung über das Anonymisierungsnetzwerk Tor zu einem Befehlsserver her, berichtet Computerworld.
Die Malware wartet dann, bis der Nutzer ein anderes Programm startet und blendet dann sofort ein Fenster ein, dass nach den Anmeldedaten fragt. Es sieht so aus, als würde das gerade vom Nutzer geöffnete Programm Root-Rechte einfordern.
Hat der Schädling erst mal Root-Rechte, wird über den Befehlsserver auch das Teilprogramm heruntergeladen, die den Inhalt von Keychain stiehlt. Es soll sich um Proof-of-Concept-Code für eine Schwachstelle in Keychain handeln, der schon als Open Source auf GitHub veröffentlicht wurde.
Er gestattet es, den Speicherinhalt des Systemdiensts securityd auszulesen, der den Schlüssel für Keychain enthält. So bekommen die Angreifer Zugriff auf alle in Keychain gespeicherten Anmeldedaten.