W marcu analitycy bezpieczeństwa z firmy Doctor Web zarejestrowali nowe trojany reklamowe należące do rodziny Mac.Trojan.VSearch. Swą aktywność rozpoczynają za pośrednictwem instalatora aplikacji wykrywanego przez Dr.Web jako Mac.Trojan.VSearch.2. Jest on rozpowszechniany ukrywając się pod postacią różnych narzędzi lub programów — przykładowo jako aplikacja Nice Player. Użytkownicy mogą pobrać go ze stron www oferujących darmowe oprogramowanie dla Mac OS X.
Gdy instalator zostanie uruchomiony, użytkownik widzi na ekranie standardowy ekran powitalny. Gdy kliknie przycisk “Continue”, Mac.Trojan.VSearch.2 powinien wyświetlić listę komponentów, które użytkownik może zainstalować w załączeniu do żądanej aplikacji. To okno dialogowe zazwyczaj zachęca użytkownika do wybrania z listy niezbędnych modułów, jednak w rzeczywistości tak się nie dzieje, gdyż instalator pomija ten krok i przechodzi do następnego etapu, prosząc użytkownika o podanie folderu do instalacji. Co więcej, trojan ustawia się tak, jakby użytkownik samodzielnie zaznaczył wszystkie zaoferowane komponenty. Pośród nich możemy wymienić trojana Mac.Trojan.VSearch.4 i takie niebezpieczne i niepożądane aplikacje, jak: MacKeeper (Program.Mac.Unwanted.MacKeeper), ZipCloud (Program.Mac.Unwanted.ZipCloud) i Mac.Trojan.Conduit.
Po tym jak Mac.Trojan.VSearch.4 zostanie zainstalowany na zainfekowanym komputerze, trojan pobiera z serwera skrypt. Jest on używany do ustawienia innej niż standardowa, domyślnej wyszukiwarki — serwera Trovi. Dodatkowo stosując skrypt Mac.Trojan.VSearch.4 potrafi pobierać i instalować wtyczkę wyszukiwarki dla Safari, Chrome i Firefoxa. Dr.Web wykrywa tę wtyczkę jako niepożądaną aplikację nazwaną Program.Mac.Unwanted.BrowserEnhancer.1. Na sam koniec trojan pobiera i instaluje inny złośliwy program — Mac.Trojan.VSearch.7.
Gdy Mac.Trojan.VSearch.7 znajdzie się w komputerze, pierwszą operacją, którą wykonuje, jest stworzenie nowego konta użytkownika, co nie jest wyświetlane w oknie powitalnym (Welcome) systemu OS X. Następnie uruchamia on specjalny serwer proxy używany do wstrzykiwania skryptu JavaScript do wszystkich otwartych stron www. Ten skrypt jest odpowiedzialny za wyświetlanie reklam w oknie przeglądarki i zbieranie zapytań użytkownika wprowadzanych w kilku popularnych wyszukiwarkach.
Specjaliści Doctor Web wykryli, że z serwerów cyberprzestępców pobrano 1,7 mln złośliwych programów. Do tego zarejestrowali również prawie pół miliona unikalnych adresów IP, z których odwoływano się do tych serwerów.