Для этого они замаскировали троян под установщик довольно популярного среди пользователей MacOS файрвола Little Snitch. Внутри обыкновенного на вид файла для установки находится среда исполнения Windows-совместимых файлов Mono, а также вредоносный код, выполняемый в этом контейнере. Таким образом, штатное антивирусное ПО игнорировало угрозу, ведь среда выполнения полностью взята из официального дистрибутива, а файлы с расширением EXE, в обычных условиях выполнимые только в операционной системе Microsoft, по умолчанию считаются не опасными.
Иными словами, пользователи, которые пожелали сэкономить 50 евро и скачать пиратскую версию Little Snitch с торрента, вместо повышения своей безопасности получали еще большую угрозу. После установки вредоносный код анализировал систему и установленное в ней программное обеспечение. На основании полученных данных, он затем скачивал и устанавливал различные программы, показывающие назойливую рекламу. Часть таких программ были также замаскированы под Little Snitch или Adobe Flash Media Player.
Компания Apple пока что не дала никаких комментариев по сложившейся ситуации. Специалисты из компании Trend Micro, обнаружившие описанный троян, предполагают, что он может быть «первой ласточкой» гораздо более опасных компьютерных вирусов. Обычно приложения, написанные для Windows, невозможно запустить в среде MacOS, но есть инструменты, позволяющие обойти это ограничение. Таковым является фреймворк Mono — программная среда с открытым исходным кодом, создающая полноценное окружение из библиотек и протоколов, необходимых для выполнения EXE-файлов. Им пользуется значительная часть владельцев компьютеров Apple из-за широкой популярности Windows и большого количества непортированного программного обеспечения.