Pythonスクリプトは、Windowsターミナルを装ってmacOSサーバーに送信されます。
Linuxシステムでは、ペイロードは%PROGRAMDATA%wt_32’に格納されたPowerShellスクリプトで、?nohup python3’を介して実行され、peinject>を介して自身を実行して、他のマシン(macOS)に追加のバイナリまたはAppleScriptコードをデプロイします。
このマルウェアは、コンピュータにフィンガープリンティングを行うことでGatekeeperの保護を回避できます。
また、レジストリのRunキー「\”microsoftUpdate\”」を介して永続性を確立します。
コメント