De malware, een SearchProxy variant, presenteert zichzelf als een Adobe Flash plug-in en wijzigt macOS-instellingen waardoor al het webwerkeer via een proxy loopt. De malware verkrijgt de rechten om deze instellingen te wijzigen door om de gebruikersnaam en het wachtwoord van de gebruiker te vragen. Dit zou nodig zijn om de nieuwe "flash"-instellingen door te voeren via Safari. In werkelijkheid worden er verschillende scripts op de achtergrond uitgevoerd die nep-certificaten installeren, alle data via de proxy laat verlopen en Google zoekresultaten "aanvult" met Bing-zoekresultaten.

De onderzoekers van AiroAV denken dat dit wordt gedaan om geld te verdienen via Bing advertenties. "Deze agressieve zoek- en injectiemethode lijkt een reactie te zijn op recente veranderingen in macOS Mojave die de 'traditionele' methoden, zoals de installatie van extensies en browserinstellingen voor overnames, hadden afgekeurd", aldus de onderzoekers "Door gebruik te maken van MITM, kunnen de aanvallers al het verkeer van de gebruiker inspecteren, inclusief versleutelde inhoud, manipuleren en de afgehandelde antwoorden terugsturen naar de gebruiker.

Lees ook: Antimalware pakketten voor Linux en Mac

De malware werkt op een andere manier dan de gebruikelijke macOS-malware. Normaal gesproken wordt er misbruik gemaakt van os- en browser-extensies en/of AppleScript injecties, iets waar macOS Mojave gevoelig voor was. Deze kwetsbaarheden zijn door Apple gedicht en deze malware lijkt daarop in te spelen door via deze weg toch nog MITM-aanvallen te kunnen uitvoeren.

In de onderstaande video zie je de naamloze malware in actie.