資安業者Intego近日發現了一個假冒爲Adobe Flash Player安裝程序的Mac惡意軟件OSX/CrescentCore,該程序現身於衆多的盜版網站,也出現在Google搜尋結果的連結中,這是一款長駐型的惡意軟件,但假若偵測到Mac用戶是在虛擬機中或安裝了防病毒軟件,便會識趣地打退堂鼓。研究人員指出,OSX/CrescentCore主要藉由各大盜版網站散佈,提供僞造的盜版內容下載連結,並提供一個假冒爲Adobe Flash Player安裝程序的.dmg檔。Intego還察覺Google搜尋結果頁面有一個排序頗高的鏈接,最終會導向顯示需要更新Adobe Flash Player的網頁,並要使用者安裝假冒爲Flash Player安裝程序的.dmg檔。
使用者開啓此一.dmg檔並執行Flash Player之後,OSX/CrescentCore就會開始檢查周遭環境,例如是否在虛擬機上運作,或是否安裝了防病毒軟件,不管偵測到哪一個,OSX/CrescentCore都會自動退出,若兩者皆非,它就會安裝一個可長期進駐的LaunchAgent***程序。OSX/CrescentCore還有另一個變種,能夠安裝Advanced Mac Cleaner流氓程序,或者是惡意的Safari瀏覽器擴充程序。研究人員特別提醒,Adobe已經要在2020年棄守Flash Player,絕大多數的網站也都不再仰賴Flash,因此今年任何人都不應該再安裝Flash Player,連合法的正式版都沒必要裝,只是大多數的網絡用戶都還未意識到這個事實,纔會遭到惡意軟件作者的利用。