MacDownloader был обнаружен на поддельном web-сайте, имитирующем легитимный ресурс крупной американской аэрокосмической компании UTC Aerospace Systems. Ранее данный сайт использовался в ходе фишинговых атак с целью распространения вредоносного ПО для Windows. В создании и управлении ресурсом исследователи подозревают киберпреступников из Ирана.
На сайте предлагаются различные бесплатные курсы для сотрудников компаний американского оборонного сектора, таких как Lockheed Martin, Raytheon и Boeing. Для того чтобы просмотреть размещенный на сайте видеоролик, пользователь якобы должен установить Flash Player. Тем не менее, вместо проигрывателя на компьютер жертвы загружается вредоносное ПО для Windows или Mac (в зависимости от используемой ОС).
С помощью поддельных окон для авторизации MacDownloader похищает учетные данные жертв из системы управления паролями Keychain. Эксперты отмечают низкое качество вредоноса и считают его пробой пера вирусописателей-любителей. Несмотря на это, MacDownloader способен обходить обнаружение на VirusTotal.