假冒Flash播放器的Mac恶意软件

资安业者Intego近日发现了一个假冒为Adobe Flash Player安装程序的Mac恶意软件OSX/CrescentCore，该程序现身于众多的盗版网站，也出现在Google搜寻结果的连结中，这是一款长驻型的恶意软件，但假若侦测到Mac用户是在虚拟机中或安装了防病毒软件，便会识趣地打退堂鼓。研究人员指出，OSX/CrescentCore主要藉由各大盗版网站散布，提供伪造的盗版内容下载连结，并提供一个假冒为Adobe Flash Player安装程序的.dmg檔。Intego还察觉Google搜寻结果页面有一个排序颇高的链接，最终会导向显示需要更新Adobe Flash Player的网页，并要使用者安装假冒为Flash Player安装程序的.dmg檔。

使用者开启此一.dmg档并执行Flash Player之后，OSX/CrescentCore就会开始检查周遭环境，例如是否在虚拟机上运作，或是否安装了防病毒软件，不管侦测到哪一个，OSX/CrescentCore都会自动退出，若两者皆非，它就会安装一个可长期进驻的LaunchAgent***程序。OSX/CrescentCore还有另一个变种，能够安装Advanced Mac Cleaner流氓程序，或者是恶意的Safari浏览器扩充程序。研究人员特别提醒，Adobe已经要在2020年弃守Flash Player，绝大多数的网站也都不再仰赖Flash，因此今年任何人都不应该再安装Flash Player，连合法的正式版都没必要装，只是大多数的网络用户都还未意识到这个事实，才会遭到恶意软件作者的利用。