圖片來源:Intego(https://www.intego.com/mac-security-blog/osx-crescentcore-mac-malware-designed-to-evade-antivirus/?sr=1)

資安業者Intego近日發現了一個假冒為Adobe Flash Player安裝程式的Mac惡意程式OSX/CrescentCore,該程式現身於眾多的盜版網站,也出現在Google搜尋結果的連結中,這是一款長駐型的惡意程式,但假若偵測到Mac用戶是在虛擬機器中或安裝了防毒軟體,便會識趣地打退堂鼓。

研究人員指出,OSX/CrescentCore主要藉由各大盜版網站散布,提供偽造的盜版內容下載連結,並提供一個假冒為Adobe Flash Player安裝程式的.dmg檔。Intego還察覺Google搜尋結果頁面有一個排序頗高的連結,最終會導向顯示需要更新Adobe Flash Player的網頁,並要使用者安裝假冒為Flash Player安裝程式的.dmg檔。

使用者開啟此一.dmg檔並執行Flash Player之後,OSX/CrescentCore就會開始檢查周遭環境,例如是否在虛擬機器上運作,或是否安裝了防毒軟體,不管偵測到哪一個,OSX/CrescentCore都會自動退出,若兩者皆非,它就會安裝一個可長期進駐的LaunchAgent木馬程式。

OSX/CrescentCore還有另一個變種,能夠安裝Advanced Mac Cleaner流氓程式,或者是惡意的Safari瀏覽器擴充程式。

研究人員特別提醒,Adobe已經要在2020年棄守Flash Player,絕大多數的網站也都不再仰賴Flash,因此今年任何人都不應該再安裝Flash Player,連合法的正式版都沒必要裝,只是大多數的網路用戶都還未意識到這個事實,才會遭到惡意程式作者的利用。


Advertisement

更多 iThome相關內容