Este novo malware é o resultado de um backdoor em conjunto com um cryptominer. É designado por Darthminer, combinando dois programas open-source.
softopedia
Como se distribui?
Essencialmente a partir do Adobe Zii, uma aplicação que supostamente ajuda na pirataria de vários programas da Adobe, sendo que, neste caso, os atacantes usam um software falso.
Como funciona?
A aplicação foi feita para correr uma shell que faz download de um script em Python e executa-o, e depois faz download de uma app chamada sample.app, correndo-a de seguida, que aparenta ser uma versão do Adobe Zii. O script de python procura pelo Little Snitch, uma firewall para ligações exteriores, depois abre ligação a um endpoint EmPyre para enviar comandos arbitrários a um Mac que esteja comprometido, fazendo a partir daí download dos outros componentes do malware. O malware em si cria um agente de execução chamado com.proxy.initialize.plist, que mantém um backdoor aberto e persistente a correr exatamente o mesmo script de python.
Além disso, o código malicioso instala o cryptominer XMLRig e cria um agente de execução para o mesmo.
Também é interessante verificar que o código é capaz de fazer download e instalar um certificado de root para a ferramenta de mitmproxy (man in the middle proxy).
Mais informações aqui: https://cyware.com/news/osxdarthminer-new-mac-malware-combines-empyre-backdoor-and-monero-mining-a497d078