A rosszindulatú Flash frissítőkbe mindig is szívesen csomagoltak a bűnözők olyan szoftvereket, amelyek különböző vírusokat telepítettek rendszerünkre, ám a Palo Alto-i Unit 42 egy rendhagyó példányt csípett fülön, ami valóban feltelepíti a legfrissebb Flasht, viszont közben egy XMRig ktiptovalutabányász programmal is megajándékoz bennünket.
A rosszindulatú kód a támadók által felügyelt URL-eken keresztül terjed. A telepítő az igazihoz megszólalásig hasonló frissítő képernyőt jelenít meg, és miközben a Flash frissítésével szöszöl, a háttérben az XMRig bányászprogramot is felpakolja a gépre.
A hamis frissítő az Adobe webhelyéről tölt le egy igazi Flash telepítőt, és ezáltal elvonja a figyelmet a valutabányász programról, amely település után kapcsolatba lép az xmr-eu1.nanopool.org bányászközponttal, és a bányászattal súlyosan lemeríti a CPU kapacitását.
A szoftvert az teszi különlegessé, hogy nem teljes átverés: tényleg megcsinálja, amit ígér -- frissíti a Flasht --, de ezt csak azért teszi, hogy álcázza vele az illegális tevékenységét.
