Amerikaanse defensiebedrijven zoals Boeing en Lockheed Martin zijn het doelwit van Mac-malware, zo waarschuwen onderzoekers Collin Anderson en Claudio Guarnieri. Ook een mensenrechtenactivist zou via MacDownloader, zoals de malware wordt genoemd, zijn aangevallen.

MacDownloader werd onder andere verspreid via een website die zich voordeed als de website van het bekende luchtvaartbedrijf United Technologies Corporation. Deze nepsite beweerde speciale programma's en opleidingen aan te bieden, waarbij werknemers en stagiaires van Lockheed Martin, Sierra Nevada Corporation, Raytheon en Boeing met name werden genoemd. Daarbij werd er ook een afbeelding van een videospeler getoond. Volgens de nepsite kon de inhoud echter niet worden weergegeven omdat de gebruiker Adobe Flash Player moet installeren. Het aangeboden bestand was in werkelijkheid de malware.

Eenmaal actief downloadt de malware wachtwoorden uit de Keychain-wachtwoordmanager van macOS en worden er toetsaanslagen opgeslagen. Daarnaast wordt ook geprobeerd om de malware te verspreiden door die als een adware-verwijdertool van anti-virusbedrijf Bitdefender aan te bieden. Volgens de onderzoekers, die vandaag voor de malware waarschuwen, zit MacDownloader amateuristisch in elkaar en is een deel van de code van andere plekken gekopieerd. Ook bevatten de websites en vensters om de malware te verspreiden basale typefouten en grammaticale fouten.

Gebruikers kunnen zich tegen dergelijke aanvallen beschermen door alleen software van de officiële website van de leverancier te downloaden of in het geval van de App Store te controleren dat de aangeboden app ook daadwerkelijk van de leverancier afkomstig is. "Op het moment van schrijven wordt MacDownload door geen enkele virusscanner op VirusTotal gedetecteerd, wat suggereert dat anti-virussoftware voor consumenten moeite met de detectie heeft", aldus de onderzoekers. Naast een versie voor macOS is er ook een versie voor Windows in omloop. Volgens Anderson en Guarnieri zou de malware in Iran zijn ontwikkeld.