Bundlore
Bundlore, ook bekend als Adware.MacOS.Bundlore, MacOS Bundlore en Crossrider, is een potentieel ongewenste applicatie (PUA) die is ontworpen om adware-achtige tools van derden in één installatieprogramma te bundelen en over het web te verspreiden. Oorspronkelijk gericht op Windows-systemen, belandt Bundlore nu ook ongevraagd op Macs. Recent onderzoek heeft ook ontdekt dat Bundlore een app voor Mac-apparaten heet die Shoptimizely heet en die bedoeld is om gebruikers een verbeterde winkelervaring te bieden. Toch is het belangrijkste doel om gebruikersgegevens te verzamelen en nepdeals en aanbiedingen weer te geven.
Deze week in Malware Aflevering 32 Deel 2: MacOS Bundlore Loader Malware ontwijkt detectie door payload te verbergen in Named Fork
Inhoudsopgave
Tracks afdekken
MacOS Bundlore arriveert naar verluidt als onderdeel van andere softwarebundels of via nep-software-updates. In sommige gevallen kan Bundlore uw systeem infecteren na een klik op een webpop-up. Ongeacht de distributiemethode, staat Bundlore bekend als vrij verborgen van aard en Mac-gebruikers komen er zelden achter totdat de app al is geïnstalleerd.
Wat te verwachten?
U zult weten dat u een Bundlore-infectie heeft gehad als u ziet dat uw standaardzoekmachine zonder duidelijke reden is gewijzigd in searchmine (dot) net. Vervolgens begint het pop-ups, banners en allerlei advertenties in uw webbrowser te gieten totdat u het kaf niet langer van het kaf scheidt. Uiteindelijk kan het gebeuren dat u per ongeluk op een met malware beladen advertentie klikt, om vervolgens uit de koekenpan in het vuur te springen. Uiteindelijk kan een schijnbaar onschadelijke PUP u op veel grotere malwarebedreigingen op het web brengen. Vaker wel dan niet, brengt u echter alleen inkomsten naar de duistere adverteerders die de ontwikkelaars van Bundlore betalen om die pay-per-click-advertenties te promoten. Ten slotte kunnen enkele van de risico's die aan Bundlore zijn verbonden, net zo goed verband houden met het verzamelen van gegevens, inclusief gevoelige gegevens en inloggegevens. Eenmaal verzameld, is er geen manier om te weten welke kant die gegevens op zullen gaan.
Bundlore Adware gebruikt een innovatieve techniek om detectie te voorkomen
Dit jaar hebben onderzoekers een aantal nieuwe ontwikkelingen opgemerkt op de markt voor malwarebedreigingen die macOS aanvallen. Bundlore Adware is onlangs in de schijnwerpers gekomen door het tegenovergestelde te doen: een van de nieuwe varianten maakt gebruik van een verouderde MacOS-technologie om de kwaadaardige lading te verbergen en detectie door zowel gebruikers als Mac-malware-scantools te voorkomen. Een van de nieuwste geanalyseerde Bundlore-samples wordt verspreid door een site met de naam 'mysoftwarefree'. Het wordt gebundeld in het installatiepakket van een nepkopie van Windows Office 365. De site geeft gebruikers instructies om een bestaande Office-versie van hun apparaat te verwijderen en de legitieme gratis proefversie van Microsoft te downloaden. Gebruikers moeten vervolgens op een knop klikken om een "volledige versie van Office 365 ProPlus" te downloaden zonder beperkingen.
Dat resulteert in het installeren van een bestand met de naam "dmg" op de computer van de gebruiker, wat gewoon een macOS-schijfimagebestand is. Binnenin die gemonteerde schijfkopie verbergt de Bundlore-druppelaar. De bedreigingsactoren hebben dus de MacOS-bestandssysteemtechnologie van resource-forks misbruikt voor het opslaan van gestructureerde gegevens, zoals miniaturen van afbeeldingen, om de payload van Bundlore te verbergen. Het is een nieuwe truc en veel traditionele scan-engines zouden de tactiek niet oppikken. Het geanalyseerde Bundlore-monster was niet met code ondertekend, dus het was niet onderworpen aan de notarisatiecontrole van Apple. Daarom blijft het open of deze innovatieve anti-detectietechniek kan worden gebruikt om notarisatiecontroles op toekomstige malwarebedreigingen te vermijden.
Op handen zijnde verwijdering
Toepassingen voor het verzamelen van gegevens, zoals Bundlore, vormen in de toekomst aanzienlijke risico's voor uw privacy, en daarom moet u onmiddellijk handelen zodra u deze op uw Mac ziet. Zoals we eerder zeiden, kan Bundlore echter veerkrachtiger blijken te zijn dan je zou verwachten vanwege de geheime installatie. U zult vaak problemen ondervinden bij het vinden van Bundlore in uw lijst met applicaties, en u zult het ook niet zien in de extensielijst van uw browser. Bovendien kan de adware overleven, zelfs als u uw browser terugzet naar de standaardinstellingen. Daarom is het inzetten van een gerenommeerde anti-malware-oplossing voor een volledige systeemscan voorlopig de beste kans om de MacOS Bundlore PUP te detecteren en te verwijderen.
