O malware está disfarçado numa imagem da app Discord, e tira screenshots repetidamente, enviando depois ao atacante para um servidor de comando e controlo (C&C). Esta app - Discord - é usada por gamers para falarem entre si. A cópia maliciosa da app inclui um código em python e samples de código também python mas codificadas em base64.

Funcionamento

Os screenshots são possíveis num intervalo regular devido a um agente que é lançado pelo payload assim como um código que é uma backdoor - EmPyre.

O autor do malware usa um ícone genérico que aparece na barra de menu quando o script automático está a correr. E antes que o utilizador note alguma coisa de errado, o malware envia um screenshot aos servidores do atacante.

Solução

De forma a eliminar a ameaça da máquina, é aconselhável que os utilizadores corram o malwarebytes para mac:

https://malwarebytes.com/mac

Casos semelhantes

Um outro malware para macOS já tinha sido falado aqui, o DarthMiner, que tem a ver com documentos maliciosos em Word. Tanto este como o LamePyre têm semelhanças na forma como são distribuídos, sendo que ambos usam scripts em python e o backdoor do EmPyre.

Mais informações aqui: https://www.bleepingcomputer.com/news/security/new-lamepyre-macos-malware-sends-screenshots-to-attacker/