Tovrstni programi delujejo tako, da uporabniku prikažejo lažna obvestila o okužbi računalnika in ga poizkušajo prepričati, naj namesti "protivirusni program". Ta program dejansko ne počne nič drugega, kot prikazuje dodatne lažne oziroma neobstoječe okužbe in od uporabnika običajno zahteva plačilo za odstranjevanje okužb.

Imena teh lažnih programov so naprimer MacDefender, MacSecurity, MacProtector in MacGuard.

Posebnost napada je, da se obvestilo o okužbi prične prikazovati naprimer med iskanjem slik preko storitve Google Image search. Dovolj je, da uporabnik klikne najdeno sliko in čez nekaj trenutkov se prikažejo obvestila o lažnih okužbah. V zadnjem času se je namreč povečalo število vdorov v spletne strežnike, na katere potem namestijo popularne oziroma pogosto iskane slike ter kodo, ki poskrbi za samodejni zagon obvestila.

Ekran izgleda enako kot Finder, orodje za iskanje datotek v operacijskem sistemu OS X, le da prikazuje lažne okužbe datotek:

Kako izgleda iskanje in lažno obvestilo ter poizkus okužbe si lahko ogledate v videu (okužba sicer ne uspe, ker je računalnik zaščiten s programom F-Secure Anti-Virus for Mac):

Če uporabnik dovoli namestitev, se lažni program namesti na računalnik. Prve verzije so zahtevale vnos gesla, novejše pa le-tega ne zahtevajo več.

Program po namestitvi poizkuša uporabnika prepričati o dodatnih okužbah. To počne tako, da na vsakih nekaj minut odpira različne pornografske spletne strani.

Apple je že pripravil varnostni popravek (Security Update 2011-003), ki uporabnike zaščiti pred tovrstnimi lažnimi programi z osveževanjem internega seznama nevarnih programov, vendar so v vmesnem času uporabniki še vedno ogroženi. Zato uporabnikom priporočamo, naj ne nasedajo lažnim obvestilom, ki se prikažejo ob obisku spletnih strani, ter tovrstna okna zaprejo.

Podjetje F-Secure se je odločilo, da bo uporabnikom svojo zaščito za Mac OS za določen čas ponudilo v brezplačni preizkus. Program se lahko sname z naslova http://www.f-secure.com/en/web/home_global/keys-in-the-cloud z vnosom kode AVMAGL.

F-Secure Anti-Virus lažne protivirusne programe za Mac prepozna pod imeni Rogue:OSX/FakeMacDef in Trojan-Downloader: OSX/FakeMacDef.