:strip_icc():format(webp)/kly-media-production/medias/5027995/original/012021400_1732861121-fotor-ai-20241129131659.jpg)
Malware ini kemudian mengeluarkan data melalui skrip bash yang mengikis sejarah browser, kunci gantungan kredensial, dan data telegram. Browser yang ditargetkan termasuk ARC, Brave, Firefox, Chrome, ke Microsoft Edge.
Malware juga mencuri basis data telegram lokal yang dienkripsi untuk kerusakan offline.
Kegigihan kemudian dicapai melalui penggunaan launcher macOS yang cerdas dan konvensi penamaan yang menipu.
Misalnya, malware menginstal biner dengan nama seperti Google LLC, mengganti huruf modal I dalam huruf kecil L untuk menyamarkan dengan file Google yang sah.
Biner lainnya, Corekitagent Monitor Sinyal Sistem untuk secara otomatis menginstal ulang jika operasi dihentikan.
Sentinelone mengatakan, penggunaan NIM untuk biner yang mewakili evolusi dalam alat aktor ancaman.
Eksekusi waktu kompilasi NIM dan kode interleaving dan runtime pengembang membuat analisis statis lebih sulit.