资安业者Intego近日发现了一个假冒为Adobe Flash Player安装程序的Mac恶意软件OSX/CrescentCore,该程序现身于众多的盗版网站,也出现在Google搜寻结果的连结中,这是一款长驻型的恶意软件,但假若侦测到Mac用户是在虚拟机中或安装了防病毒软件,便会识趣地打退堂鼓。研究人员指出,OSX/CrescentCore主要藉由各大盗版网站散布,提供伪造的盗版内容下载连结,并提供一个假冒为Adobe Flash Player安装程序的.dmg檔。Intego还察觉Google搜寻结果页面有一个排序颇高的链接,最终会导向显示需要更新Adobe Flash Player的网页,并要使用者安装假冒为Flash Player安装程序的.dmg檔。
使用者开启此一.dmg档并执行Flash Player之后,OSX/CrescentCore就会开始检查周遭环境,例如是否在虚拟机上运作,或是否安装了防病毒软件,不管侦测到哪一个,OSX/CrescentCore都会自动退出,若两者皆非,它就会安装一个可长期进驻的LaunchAgent***程序。OSX/CrescentCore还有另一个变种,能够安装Advanced Mac Cleaner流氓程序,或者是恶意的Safari浏览器扩充程序。研究人员特别提醒,Adobe已经要在2020年弃守Flash Player,绝大多数的网站也都不再仰赖Flash,因此今年任何人都不应该再安装Flash Player,连合法的正式版都没必要装,只是大多数的网络用户都还未意识到这个事实,才会遭到恶意软件作者的利用。