Lors de l’installation de la suite logicielle, un paquet supplémentaire, nommé iWorkServices.pkg, se faufile sur le Mac et active à son tour l’installation du cheval de Troie qui va se loger dans le dossier MacintoshHD/Système/Bibliothèque/StartupItems/iWorkServices.
De là, le logiciel malveillant, nanti au niveau root des autorisations en exécution, lecture et écriture, se connecte à un serveur distant pour informer son concepteur qu’il a réussi à s’installer sur un Mac tout en attendant patiemment ses instructions.