Onderzoekers hebben een blog ontdekt dat zogenaamd van anti-virusbedrijf Symantec is en gebruikers met Mac-malware probeert te infecteren. Het gaat om een domein met daarin de naam van Symantec dat dezelfde inhoud als het originele blog van Symantec bevat en van een geldig ssl-certificaat is voorzien.

Op de malafide website is echter een artikel toegevoegd waarin wordt gewaarschuwd voor een nieuwe variant van de CoinThief-malware. CoinThief is bestaande malware, alleen zijn er geen nieuwe varianten bekend, aldus anti-malwarebedrijf Malwarebytes. Verschillende Twitter-accounts worden gebruikt om gebruikers voor deze niet bestaande nieuwe variant te waarschuwen. Het gaat zowel om nep-accounts als zeer waarschijnlijk legitieme accounts die de waarschuwing hebben overgenomen.

In de tweets wordt gelinkt naar het artikel op de malafide website. De website adviseert bezoekers om de "Symantec Malware Detector" te installeren, om zo de malware te detecteren en te verwijderen. De Malware Detector is een niet bestaand programma. Het bestand dat gebruikers wel krijgen aangeboden is een variant van de Proton-malware. Zodra gebruikers de applicatie openen, die over een geldig ontwikkelaarscertificaat van Apple beschikt, verschijnt er een venster met het logo van Symantec en een "check" knop.

Wanneer de gebruiker op de knop klikt wordt het beheerderswachtwoord gevraagd. Vervolgens laat de applicatie zien dat er een scan van het systeem plaatsvindt. In werkelijkheid wordt de Proton-malware geïnstalleerd. De malware slaat wachtwoorden, systeemgegevens en andere persoonlijke informatie op. De Proton-malware werd eerder ook verborgen in legitieme versies van Elmedia Player, Folx en HandBrake.