Các nhà nghiên cứu đã phát hiện ra phần mềm độc hại này tại một số trang web, từ các trang web cung cấp các phần mềm vi phạm bản quyền, đến một số liên kết tìm kiếm Google (các liên kết không được tài trợ và có xếp hạng thấp). Theo khuyến cáo của Intego, người dùng có thể bị lây nhiễm trojan này từ các nguồn vô hại như các kết quả tìm kiếm của Google được xếp hạng thấp.
Phần mềm độc hại OSX/CrescentCore được phát hiện lần đầu tiên trên một trang web truyện tranh, đăng tải các bản sao kỹ thuật số của các truyện tranh mới. Trojan này được ngụy trang dưới dạng các bản cập nhật Flash Player trên trình duyệt, tuy nhiên nếu chú ý quan sát người dùng sẽ nhận thấy nó hoàn toàn khác với các thông báo của bản cập nhật Flash Player hợp pháp. Đặc biệt là những người dùng Chrome trên Mac sẽ nghi ngờ, vì trình duyệt Chrome trên Mac có phiên bản Flash tích hợp riêng và được cập nhật tự động.
Các nhà nghiên cứu cũng đưa ra khuyến cáo, người dùng không nên cài đặt Flash Player và tiếp tục sử dụng chúng trong năm 2019. Gần như tất cả các trang web phổ biến đã ngừng hoặc có thông báo về tiến trình ngừng các dịch vụ dựa vào Flash. Nguyên nhân bởi Adobe đã không còn lên kế hoạch phát hành bản cập nhật bảo mật cho Flash Player.
Trojan OSX/CrescentCore giả dạng Flash Player thường được phân phối dưới dạng file đĩa ảo có dạng *.dmg để lẩn tránh các phần mềm diệt virus. Tuy nhiên, nó còn được thiết kế thêm một số khả năng bổ sung làm cho phần mềm chống virus khó phát hiện hơn, đồng thời chống lại việc dịch ngược của các nhà nghiên cứu mã độc.
Sau khi nạn nhân truy cập file đĩa ảo có dạng *.dmg và mở ứng dụng Flash Player, phần mềm độc hại này sẽ kiểm tra xem liệu nó thực thi trong môi trường Sandbox hay không. Nếu bị phát hiện, OSX/CrescentCore sẽ không thực thi bất kể hành động nào để ngăn chặn việc bị phân tích hành vi.
OSX/CrescentCore cũng kiểm tra sự tồn tại của của chương trình chống virus. Nếu không có, phần mềm độc hại này sẽ tiến hành thay đổi cài đặt LaunchAgent trên máy của nạn nhân. OSX/CrescentCore truy cập vào giao diện đồ họa người dùng và hiển thị thông tin ứng dụng, đây là một sự lây nhiễm dai dẳng với người dùng Mac không sử dụng phần mềm chống virus.
Một biến thể thứ hai của phần mềm độc hại này cũng đã bị phát hiện và đang được các chuyên gia tiến hành phân tích. Với biến thể này, trình cài đặt trojan có thể cài đặt phần mềm giả mạo có tên Advanced Advanced Cleaner Cleaner (OSX/AMC) hoặc cài đặt tiện ích mở rộng độc hại trình duyệt Safari.