Zumeist beginnt der Angriff auf ein Apple-Endgerät mithilfe eines Trojaners aus der Mac.Trojan.VSearch-Familie. So versteckt sich der Mac.Trojan.VSearch.2 in einem harmlosen Tool oder einer Applikation, wie dem zum Abspielen von Videos und Filmen benutzten Nice Player.
Nachdem der Installationsassistent gestartet wurde, zeigt der Trojaner dem Benutzer eine Auswahl mit diversen Komponenten, von denen normalerweise alle Elemente installiert werden. Darunter befinden sich ein weiterer Trojaner (Mac.Trojan.VSearch.4) sowie infizierte Programme. Dazu gehören das kostenlose Virenschutzprogramm MacKeeper, der Cloud-Dienst für Backups ZipCloud oder die Toolbar Mac.Trojan.Conduit für den Browser.
Nach der erfolgreichen Installation verbindet sich der Mac.Trojan.VSearch.4 mit dem Server der Cyber-Kriminellen. Gleichzeitig wird sofort ein Skript hergestellt, das die bisherige Suchmaschine gegen Trovi ersetzt. Dieses Tool ist zwar kein Virus, schleust jedoch infizierte Adware in den Browser ein und ändert die gespeicherten Einstellungen des bisherigen Browsers.
Gleichzeitig installiert die Malware mit diesem Skript jeweils ein Such-Plug-In für die Browser Safari, Chrome und Firefox. Dr.Web klassifiziert dieses Plug-In als Program.Mac.Unwanted.BrowserEnhancer.1. Dieser lädt den Mac.Trojan.VSearch.7 herunter und richtet automatisch einen neuen Benutzer ein. Daneben wird ein Proxy-Server gestartet, der wiederum als JavaScript im Webbrowser eingebettet ist. Dieser sammelt dann Suchanfragen der benutzten Suchmaschinen und sendet sie an die Cyber-Kriminellen.
Insgesamt stellten die IT-Sicherheitsspezialisten von Doctor Web fest, dass von 478.099 IP-Adressen 1.735.730 Mal Malware heruntergeladen wurde, was das immense Ausmaß dieser Bedrohung zeigt. Die Werbe-Trojaner werden durch die Dr.Web Antivirenschutzlösungen zuverlässig entdeckt und unschädlich gemacht. Für den User stellen sie somit keinerlei Gefahr mehr dar.
