Uživatel otvírající fiktivní dokument ve skutečnosti spouští spustitelný soubor pro OS X, který záhy stáhne další části malware. Nejdříve dojde ke stažení a spuštění hlavní backdoor komponenty, dále pak ke stažení náhodného obrázku, který nahradí právě spuštěný downloader, a nakonec dojde i na jeho zobrazení uživateli. Po infiltraci zařízení se malware snaží získat přístupové údaje spravované pomocí komponenty operačního systému, správce hesel Keychain.
V bezpečí jsou uživatelé OS X, kteří mají nastavenou funkci Gatekeeper tak, aby umožňovala spouštění pouze aplikací digitálně podepsaných pomocí vývojářského ID přiděleného společností Apple. Umožňuje-li Gatekeeper stažení i nepodepsaných aplikací, má malware Keydnap přístup do systému.
Neméně zajímavé je také to, jak Keydnap komunikuje se svým řídícím serverem, od kterého dostává pokyny k činnosti, respektive který na něj rovněž odesílá výsledky prováděných úloh. Používá k tomu totiž Tor2Web proxy infrastrukturu.
