假冒成Flash播放器的Mac惡意程式曝光

資安業者Intego近日發現了一個假冒為Adobe Flash Player安裝程式的Mac惡意程式OSX/CrescentCore，該程式現身於眾多的盜版網站，也出現在Google搜尋結果的連結中，這是一款長駐型的惡意程式，但假若偵測到Mac用戶是在虛擬機器中或安裝了防毒軟體，便會識趣地打退堂鼓。

研究人員指出，OSX/CrescentCore主要藉由各大盜版網站散布，提供偽造的盜版內容下載連結，並提供一個假冒為Adobe Flash Player安裝程式的.dmg檔。Intego還察覺Google搜尋結果頁面有一個排序頗高的連結，最終會導向顯示需要更新Adobe Flash Player的網頁，並要使用者安裝假冒為Flash Player安裝程式的.dmg檔。

使用者開啟此一.dmg檔並執行Flash Player之後，OSX/CrescentCore就會開始檢查周遭環境，例如是否在虛擬機器上運作，或是否安裝了防毒軟體，不管偵測到哪一個，OSX/CrescentCore都會自動退出，若兩者皆非，它就會安裝一個可長期進駐的LaunchAgent木馬程式。

OSX/CrescentCore還有另一個變種，能夠安裝Advanced Mac Cleaner流氓程式，或者是惡意的Safari瀏覽器擴充程式。

研究人員特別提醒，Adobe已經要在2020年棄守Flash Player，絕大多數的網站也都不再仰賴Flash，因此今年任何人都不應該再安裝Flash Player，連合法的正式版都沒必要裝，只是大多數的網路用戶都還未意識到這個事實，才會遭到惡意程式作者的利用。