這次被發現的惡意軟體,是通過在啟動過程中註冊可執行文件達到感染 Mac OS 的目的,並且可以很好地被隱藏且難以刪除。被感染後,該病毒會自行尋找各種在線有效負載 (Payloads),並在內存中運行它們,藉此確保防毒軟體在電腦重啟和進行其他系統操作時也不會發現到病毒的存在。最終,有效負載會隨著不斷運作而產生變化,而且病毒將會在受感染的電腦上取得特權 (Root),最後會變得近乎不可發現。
根據安全研究服務機構 VirusTotal 的統計,在 72 個 Mac OS 防毒軟體中,只有 19 個可以發現到這個惡意軟體。
目前,有指該惡意軟體是來北韓黑客組織 Lazarus APT Group 的 AppleJeus,是一種「無檔案」(Fileless) 的 Windows 和 Mac OS 木馬程式,具有偽裝成加密交易應用程式的特性。
為了散播這惡意軟件,攻擊者建立了一個看似合法的密貨幣交易網站,名為 JMTTrading 。它提供「智能加密貨幣套利交易平台」(Smart Cryptocurrency Arbitrage Trading Platform) 服務,並且處於啟用狀態。但暫時看來,它似乎不再送出其惡意有效負載。
另外,Patrick Wardle 在安全網站 Objective-See 上表示:「現在,已經可以合理地假設 Lazarus Group 正堅持一種成功且有效的攻擊手段 - 以木馬病毒,針對使用加密交易應用程式的加密貨幣交易所員工。」
此外,美國財政部 (The U.S. Treasury Department) 此前已就北韓駭客組織通過惡意軟件,偷取加密貨幣以支付軍事裝備的費用一事而制裁北韓。
恐怖主義和金融情報局 (Treasury Under Secretary for Terrorism and Financial Intelligence) 局長 Sigal Mandelker 在 9 月時曾表示:「美國財政部一直都有針對『進行網路攻擊去支持非法武器和導彈計劃的北韓駭客組織』採取行動。在未來,我們仍將繼續執行美國和聯合國對北韓實施中的制裁,並同時加強與國際社會合作,以進一步完善金融網路的安全。」
