Bundlore
Bundlore, noto anche come Adware.MacOS.Bundlore, MacOS Bundlore e Crossrider, è un'applicazione potenzialmente indesiderata (PUA) progettata per raggruppare strumenti simili ad adware di terze parti in un unico programma di installazione e diffonderli sul Web. Originariamente indirizzato a sistemi basati su Windows, Bundlore ora arriva senza invito anche su Mac. Ricerche recenti hanno anche rilevato Bundlore come un'app per dispositivi Mac chiamata Shoptimizely che dovrebbe fornire una migliore esperienza di acquisto per gli utenti. Tuttavia, il suo scopo principale è raccogliere i dati degli utenti e visualizzare offerte e offerte false.
Questa settimana nell'episodio 32 di malware, parte 2: MacOS Bundlore Loader Il malware elude il rilevamento nascondendo il carico utile nel fork con nome
Sommario
Tracce di copertura
Secondo quanto riferito, MacOS Bundlore arriva come parte di altri pacchetti software o tramite aggiornamenti software fasulli. In alcuni casi, Bundlore potrebbe infettare il tuo sistema a seguito di un clic su un pop-up web. Indipendentemente dal suo metodo di distribuzione, Bundlore è noto per essere abbastanza nascosto in natura e gli utenti Mac raramente lo scoprono fino a quando l'app non è già stata installata.
Cosa aspettarsi?
Saprai di aver avuto un'infezione da Bundlore quando vedrai che il tuo motore di ricerca predefinito è stato cambiato in searchmine (dot) net senza motivo apparente. Successivamente, inizierà a versare pop-up, banner e tutti i tipi di annunci nel tuo browser web fino a quando non separerai più il grano dalla pula. Alla fine, potresti inavvertitamente fare clic su un annuncio carico di malware, solo per saltare dalla padella al fuoco. Alla fine, un PUP apparentemente innocuo potrebbe portarti a minacce malware molto più grandi sul Web. Il più delle volte, tuttavia, porterai entrate agli inserzionisti loschi che pagano gli sviluppatori di Bundlore per promuovere quegli annunci pay-per-click. Infine, alcuni dei rischi associati a Bundlore potrebbero anche riguardare la raccolta dei dati, inclusi i dati sensibili e le credenziali di accesso. Una volta raccolti, non c'è modo di sapere in che direzione andranno quei dati.
Bundlore Adware utilizza una tecnica innovativa per evitare il rilevamento
Quest'anno, i ricercatori hanno osservato una serie di nuovi sviluppi sul mercato per le minacce malware che attaccano macOS. Bundlore Adware è recentemente entrato sotto i riflettori facendo il contrario: una delle sue nuove varianti sfrutta una tecnologia MacOS legacy per nascondere il suo payload dannoso ed evitare il rilevamento sia da parte degli utenti che degli strumenti di scansione del malware Mac. Uno degli ultimi campioni Bundlore analizzati è distribuito da un sito chiamato "mysoftwarefree". Viene fornito in bundle nel pacchetto di installazione di una copia falsa di Windows Office 365. Il sito indica agli utenti di rimuovere qualsiasi versione di Office esistente dal proprio dispositivo e di scaricare la versione di prova gratuita di Microsoft. Gli utenti devono quindi fare clic su un pulsante per scaricare una "versione completa di Office 365 ProPlus" senza limitazioni.
Ciò si traduce nell'installazione di un file chiamato "dmg" sul computer dell'utente, che è semplicemente un file di immagine del disco di macOS. All'interno dell'immagine del disco montato si nasconde il contagocce Bundlore. Pertanto, gli autori delle minacce hanno utilizzato in modo improprio la tecnologia del file system MacOS resource fork per archiviare dati strutturati, come le miniature delle immagini, per nascondere il payload di Bundlore. Si tratta di un nuovo trucco e molti motori di scansione tradizionali non coglierebbero la tattica. Il campione Bundlore analizzato non era firmato dal codice, quindi non è stato soggetto al controllo notarile di Apple. Pertanto, resta aperto se questa innovativa tecnica anti-rilevamento possa essere utilizzata per evitare i controlli notarili per future minacce malware.
Rimozione imminente
Le applicazioni di raccolta dati come Bundlore pongono rischi futuri sostanziali per la tua privacy, motivo per cui dovresti agire immediatamente non appena l'hai individuato sul tuo Mac. Come abbiamo detto prima, tuttavia, Bundlore potrebbe dimostrarsi più resistente di quanto ci si aspetterebbe a causa della sua installazione segreta. Avrai spesso problemi a trovare Bundlore nell'elenco delle applicazioni, né lo vedrai nell'elenco delle estensioni del tuo browser. Inoltre, l'adware potrebbe sopravvivere anche se ripristini le impostazioni predefinite del browser. Ecco perché, l'implementazione di una soluzione anti-malware affidabile per una scansione completa del sistema è il modo migliore per rilevare e rimuovere il PUP MacOS Bundlore per il momento.
