MACDefender po raz pierwszy został zauważony w sobotę przez użytkowników Apple Support Communities, a kilka godzin temu opisała go firma Intego. Twórcy MACDefendera wykorzystują SEO (Search Engine Optimization) Poisoning Attack oraz XSS (Cross Site Scripting) aby umieścić na często wyszukiwanych stronach fragment skryptu JavaScript, który automatycznie pobierze złośliwy program. Dodatkowo, aby oszukać atakowanego użytkownika, program zakłada owczą skórę i udaje oprogramowanie zabezpieczające. Tego typu ataki od lat znane są użytkownikom systemu Windows, ale MACDefender to pierwszy fałszywy antywirus atakujący Maki.
Na pierwszy rzut oka widać, że aplikacja została starannie zaprojektowana, aby imitować profesjonalny program zabezpieczający. MACDefender wyświetla powiadomienie o znalezieniu wirusa, a raz na kilka minut otwiera w przeglądarce strony pornograficzne, aby przekonać użytkownika o jego obecności. Punktem kulminacyjnym jest powiadomienie, że wirus zostanie usunięty po kupieniu licencji na MACDefendera. Po zapłaceniu powiadomienia znikają, więc oszukany użytkownik ma uczucie, że program zrobił coś użytecznego.
Jednak, jak w wielu przypadkach, tu również użytkownika obronić może zdrowy rozsądek. Szkodliwy program pobierany jest wewnątrz skompresowanego archiwum ZIP, więc pierwszą linią obrony jest wyłączenie w przeglądarce automatycznego otwierania pobranych plików. Jeśli archiwum zostanie otwarte, użytkownik zobaczy okno instalatora MACDefendera. Wystarczy nie zgodzić się na instalację nieznanego programu i nie podawać hasła administratora. Jeśli jednak MACDefender zostanie zainstalowany, prostą metodą na jego usunięcie jest zakończenie procesu z poziomu menedżera procesów („Wymuś koniec...”) i usunięcie programu z folderu „Aplikacje”. Ponieważ przed tym atakiem można obronić się samemu, zagrożenie zostało ocenione jako niskie. Należy jednak spodziewać się, że pojawią się kolejne, bardziej zaawansowane i bardziej złośliwe
Złośliwy program sprawia problemy nie tylko użytkownikom. Jego nazwa przypomina nazwę firmy MacDefender, której produkty obecne są na rynku od 2009 roku. Na stronie firmy można znaleźć informację, że nie jest ona w żaden sposób związana z atakiem.
