За допомогою вірусної програми зловмисники крадуть паролі з сервісу Apple "Зв`язка ключів iCloud" (iCloud Keychain) і відкривають собі доступ до зараженого комп`ютера.
Відео: Чи є віруси на Mac? Огляд Kaspersky Internet Security
Імовірно, Keydnap поширюється "по-старому" - в ZIP-архіві, доданому до фішингових листа. В архіві знаходиться виконуваний файл Mach-O, замаскований під текстовий файл або картинку у форматі JPEG.
Якщо користувач спробує відкрити файл з архіву, Keydnap покаже картинку або текстовий документ. Тим часом на макбуки виповнюється шкідливий код, і відбувається скачування і установка бекдора.
Після установки Keydnap збирає і фільтрує інформацію про зараженому комп`ютері. Шкідлива програма використовує права користувача системи, а намагається отримати root-доступ, для чого відкриває вікно введення пароля Mac-користувача.
Отримавши розширені права в системі, Keydnap копіює вміст менеджера паролів "Зв`язка ключів iCloud". Інформація відправляється на керуючий сервер зловмисників за допомогою Tor2Web. Фахівці ESET відстежили два сервера, до яких звертається шкідлива програма.
Відео: Mac vs Pc "віруси"
Крім цього Keydnap може встановлювати оновлення, завантажувати і запускати інші виконувані файли, запитувати для них права адміністратора.