Netlab 年初發現一隻可疑的 ELF 檔案,起先判定為挖礦程式,不過其實是一款後門程式,被命名為 Godlua,是首度利用 DoH 技術執行攻擊的惡意程式。
資安業者 Intego 近日發現了一個假冒為 Adobe Flash Player 安裝程式的 Mac 惡意程式 OSX/CrescentCore,該程式現身於眾多的盜版網站,也出現在 Google 搜尋結果的連結中,這是一款長駐型的惡意程式,但假若偵測到 Mac 用戶是在虛擬機器中或安裝了防毒軟體,便會識趣地打退堂鼓。
研究人員指出,OSX/CrescentCore 主要藉由各大盜版網站散布,提供偽造的盜版內容下載連結,並提供一個假冒為 Adobe Flash Player 安裝程式的 .dmg 檔。Intego 還察覺 Google 搜尋結果頁面有一個排序頗高的連結,最終會導向顯示需要更新 Adobe Flash Player 的網頁,並要使用者安裝假冒為 Flash Player 安裝程式的 .dmg 檔。
使用者開啟此一 .dmg 檔並執行 Flash Player 之後,OSX/CrescentCore 就會開始檢查周遭環境,例如是否在虛擬機器上運作,或是否安裝了防毒軟體,不管偵測到哪一個,OSX/CrescentCore 都會自動退出,若兩者皆非,它就會安裝一個可長期進駐的 LaunchAgent 木馬程式。
OSX/CrescentCore 還有另一個變種,能夠安裝 Advanced Mac Cleaner 流氓程式,或者是惡意的 Safari 瀏覽器擴充程式。
研究人員特別提醒,Adobe 已經要在 2020 年棄守 Flash Player,絕大多數的網站也都不再仰賴 Flash,因此今年任何人都不應該再安裝 Flash Player,連合法的正式版都沒必要裝,只是大多數的網路用戶都還未意識到這個事實,才會遭到惡意程式作者的利用。