Na různých pornografických stránkách se objevil trojský kůň určený speciálně pro Mac OS X. Podle bezpečnostní společnosti, která tento program objevila je scénář následující:
- Navštívíte pochybnou stránku s nabídkou videa
- Video si vyžádá speciální kodek do QuickTimu a jste požádáni si jej stáhnout
- Uživatelům, kteří mají nastaveno Open Safe Files After Downloading se připojí disková image, kde se automaticky spustí instalátor
- Instalátor bude požadovat heslo, čímž trojský kůň získá práva administrátora.
- Ve skutečnosti se neinstaluje žádný kodek a uživatel se vrátí zpět na web stránky, kde bude po nich požadován další software
- Při instalaci se změní nastavení DNS pomocí scutil příkazu a použije se DNS server, který vám po žádosti o IP adresu stránek PayPal či jiných bank, nevrací správnou IP adresu, ale adresu phishing serveru. Tedy serveru sloužícímu k tomu, aby vám přebíral vaše přihlašovací údaje do banky - tedy je vidět jak jsou důležité certifikáty na serveru. Ale pozor, i phishing server se může za určitých okolností tvářit, že má platný certifikát, proto je také důležité ověřit si, že certifikát je podepsán důvěryhodnou certifikační autoritou.
- Aby to bylo ještě zajímavější, změněné DNS servery v grafickém uživatelském rozhraní nelze vidět (pod Mac OS X 10.4), pod Mac OS X 10.5 lze vidět změnu v Rozšířených síťových předvolbách.
Dávejte si tedy pozor jaké programy stahujete do svého počítače a ještě větší, pokud vyžadují administrátorská práva. Asi nejlepší radou při instalaci je zkontrolovat, jaké soubory se instalují vybráním položky Show all files z nabídky instalátoru.