تستهدف برامج الفدية الجديدة مستخدمي ماك أو إس الذين يقومون بتنزيل برامج التثبيت للتطبيقات الشائعة عبر ملفات التورنت.
عُرف الهجوم باسم إيفل كويست، وقد تم رصده لأول مرة بواسطة دينش ديفادوس، وهو باحث في البرمجيات الخبيثة في كيه سفن لاب. كما تشير النتائج إلى أن إيفل كويست كان نشطًا جدًا منذ بداية يونيو ٢٠٢٠. وقد وجدت شركات مختبرات البرامج الضارة، مثل ميلويربايتس، برامج الفدية المرفقة ببرامج ماك أو إس المقرصنة والموزعة بشكل أساسي من خلال مواقع التورنت والمنتديات.
استخدام نفس عنوان بيتكوينيطلب إيفل كويست من الضحايا دفع فدية من خلال نفس عنوان بيتكوين (BTC) الثابت في كل هجوم موثق. وأحد العلامات الأولى على شن إيفل كويست هجومًا هو تجمد نظام ماك أو إس فايندر. وبمجرد اكتمال تشفير الملف، يتم إنشاء ملف نصي بإرشادات الفدية.