Зловред, замаскированный под iTerm2 (бесплатный аналог утилиты «Терминал») распространяется через спонсорские ссылки в результатах поисковой выдачи.Anti-Malware.ru
Анализ показал, что предложенный для скачивания образ диска содержит приложение с именем iTerm, подписанное сертификатом разработчика.Anti-Malware.ru
Обосновавшись в системе, зловред связывается со своим сервером и загружает с указанного адреса Python-скрипт, а также исполняемый файл с именем GoogleUpdate.Anti-Malware.ru
Однако злоумышленники спокойно могут откочевать в другие страны, создав другое вредоносное macOS-приложение, новый сайт и купив еще одну лицензию разработчика за $99.Anti-Malware.ru