Trojský kůň, který dostal od Francouzů jméno Crisis a od výzkumníků ze Sophos zase Morcut, je špionážním malwarem, který se zaměřuje na uživatele komunikačních nástrojů a prohlížečů pro operační systémy od Applu. Intego ve své zprávě uvádí, že se jí podařilo najít spojení mezi částí škodlivého kódu a jednou italskou firmou, která za cenu 245 tisíc dolarů prodává špionážní sadu nástrojů bezpečnostním a zpravodajským službám.
Crisis se podle všeho chová jako skutečný trojský kůň a k infikování uživatelských zařízení nevyužívá bezpečnostních chyb, ale spoléhá se místo toho na neopatrnost samotných uživatelů. „Jsme přesvědčeni o tom, že se virus spoléhá hlavně na sociální inženýrství. V této chvíli si nemyslíme, že je s touto hrozbou spojena nějaká konkrétní zranitelnost,“ píše bezpečnostní tým Symantecu na svém blogu.
Malware se snaží před bezpečnostním softwarem skrýt instalací rootkitu a také provedením změny v nástroji Activity Monitor, který v OS X slouží pro zobrazení seznamu spuštěných procesů a množství paměti, které spotřebovávají. Jakmile se virus do systému dostane, spustí monitoring komunikačních nástrojů Adium, MSN Messenger a Skype, a prohlížečů Safari a Firefox. Zajímá ho nejrůznější obsah, včetně hovorů vedených přes Skype, zpráv z komunikátorů a zadaných webových adres. Kromě toho může získat také přístup k vestavěné webkameře a mikrofonu, pořizovat snímky pracovní plochy, zachycovat stisknuté klávesy a krást kontakty z adresáře. Veškerý obsah této povahy je přitom odesílán na jediný řídící server.
Intego považuje Crisis za velkou hrozbu, částečně i proto, že obsahuje části kódu z komerčního špionážního softwaru. Tímto softwarem je Remote Control System (RCS) za kterým stojí italská společnost Hacking Team. Produkt prý používá velké množství státních organizací po celém světě, které díky němu mohou sledovat dění až na stovkách tisíc nakažených zařízení najednou.