Bundlore
Bundlore, også kendt som Adware.MacOS.Bundlore, MacOS Bundlore og Crossrider, er en potentielt uønsket applikation (PUA) designet til at samle tredjeparts adware-lignende værktøjer i et enkelt installationsprogram og sprede dem over internettet. Oprindeligt målrettet mod Windows-baserede systemer lander Bundlore nu også ubudne på Mac-computere. Nyere forskning har også fundet Bundlore som en app til Mac-enheder kaldet Shoptimizely, som formodes at give brugerne forbedret shoppingoplevelse. Alligevel er dets hovedformål at indsamle brugerdata og vise falske tilbud og tilbud.
Denne uge i malware, afsnit 32, del 2: MacOS Bundlore Loader Malware undgår detektion ved at skjule nyttelast i navngivet gaffel
Indholdsfortegnelse
Dækker spor
MacOS Bundlore ankommer angiveligt som en del af andre softwarepakker eller gennem falske softwareopdateringer. I nogle tilfælde kan Bundlore inficere dit system efter et klik på en pop-op på nettet. Uanset dens distributionsmetode er Bundlore kendt for at være temmelig skjult, og Mac-brugere finder sjældent ud af det, før appen allerede er blevet installeret.
Hvad kan man forvente?
Du ved, at du har haft en Bundlore-infektion, når du ser, at din standardsøgemaskine er blevet ændret til searchmine (dot) net uden nogen åbenbar grund. Derefter begynder det at hælde pop op-vinduer, bannere og alle mulige annoncer ned i din webbrowser, indtil du ikke længere adskiller hveden fra agnet. Til sidst kan du utilsigtet klikke på en malware-lastet annonce, kun for at hoppe fra stegepanden i ilden. I sidste ende kan en tilsyneladende harmløs PUP bringe dig til langt større malware-trusler på Internettet. Oftere end ikke vil du dog bare bringe indtægter til de skyggefulde annoncører, der betaler Bundlores udviklere for at promovere disse pay-per-click-annoncer. Endelig kan nogle af de risici, der er forbundet med Bundlore, lige så godt vedrøre datahøstning, herunder følsomme data og loginoplysninger. Når de er indsamlet, er der ingen måde at vide, hvilken vej disse data går mod.
Bundlore Adware bruger en innovativ teknik for at undgå afsløring
I år har forskere observeret en række nye udviklinger på markedet for malware-trusler, der angriber macOS. Bundlore Adware er for nylig kommet i rampelyset ved at gøre det modsatte - en af dens nye varianter udnytter en ældre MacOS-teknologi til at skjule sin ondsindede nyttelast og undgå afsløring både af brugere og Mac-malware-scanningsværktøjer. En af de sidst analyserede Bundlore-prøver distribueres af et websted kaldet “mysoftwarefree.” Den leveres sammen med installationspakken til en falsk kopi af Windows Office 365. Webstedet beder brugerne om at fjerne enhver eksisterende Office-version fra deres enhed og downloade den legitime gratis prøveversion fra Microsoft. Brugere skal derefter klikke på en knap for at downloade en "fuld version af Office 365 ProPlus", der ikke har nogen begrænsninger.
Det resulterer i at installere en fil kaldet “dmg” på brugerens computer, som simpelthen er en MacOS-diskbilledfil. Inde i det monterede diskbillede skjuler Bundlore-dropper. Således har trusselaktørerne misbrugt ressourcegaflerne MacOS-filsystemteknologi til lagring af strukturerede data, som miniaturebilleder for at skjule Bundlores nyttelast. Det er et nyt trick, og mange traditionelle scanningsmotorer ville ikke opfange taktikken. Den analyserede Bundlore-prøve blev ikke kodesigneret, så den var ikke underlagt Apples Notarization-kontrol. Derfor forbliver det åbent, om denne innovative antidetektionsteknik kan bruges til at undgå Notarization-kontrol for fremtidige malware-trusler.
Overhængende fjernelse
Dataindsamlingsapplikationer såsom Bundlore udgør væsentlige fremtidige risici for dit privatliv, hvorfor du skal handle med det samme, så snart du har set det på din Mac. Som vi sagde tidligere, kan Bundlore dog vise sig at være mere modstandsdygtig, end du ville forvente på grund af sin skjulte installation. Du har ofte problemer med at finde Bundlore på din applikationsliste, og du kan heller ikke se den på din browsers udvidelsesliste. Desuden kan adware muligvis overleve, selvom du nulstiller din browser til standardindstillingerne. Derfor er implementering af en velrenommeret anti-malware-løsning til en komplet systemscanning det bedste skud på at opdage og fjerne MacOS Bundlore PUP indtil videre.
