本德洛尔

Bundlore，也称为Adware.MacOS.Bundlore，MacOS Bundlore和Crossrider，是一种潜在有害的应用程序（PUA），旨在将类似于第三方adware的工具捆绑在单个安装程序中，并通过Web进行传播。 Bundlore最初是针对基于Windows的系统，现在也不需要在Mac上登陆。最近的研究还发现Bundlore是Mac设备上名为Shoptimizely的应用程序，可以为用户提供改善的购物体验。但是，其主要目的是收集用户数据并显示虚假交易和要约。

本周恶意软件第32集第2部分：MacOS Bundlore Loader恶意软件通过隐藏有效载荷隐藏命名叉来逃避检测

覆盖轨道

据报道，MacOS Bundlore是作为其他软件包的一部分提供的，或者是通过虚假的软件更新而提供的。在某些情况下，单击Web弹出窗口后，Bundlore可能感染您的系统。无论采用哪种分发方式，Bundlore本质上都是秘密的，并且Mac用户在安装该应用程序之前很少发现它。

期待什么？

当您看到默认的搜索引擎无故被更改为searchmine（dot）net时，您将知道您感染了Bundlore。接下来，它将开始将弹出窗口，横幅和各种广告倾倒在您的Web浏览器中，直到您不再将小麦与谷壳分开为止。最终，您可能无意间点击了一个装有恶意软件的广告，只是从平底锅跳入了大火。最后，看似无害的PUP可能使您面临Web上更大的恶意软件威胁。但是，您经常会把收益带给那些向Bundlore的开发人员付款以推广那些按点击付费的广告的阴暗广告商。最后，与Bundlore相关的某些风险也可能与数据收集有关，包括敏感数据和登录凭据。一旦收集，就无法知道这些数据将往何处去。

Bundlore广告软件使用创新技术来避免检测

今年，研究人员观察到了市场上针对攻击macOS的恶意软件威胁的许多新发展。 Bundlore广告软件最近通过相反的方式引起了人们的关注–一种新的变体利用了传统的MacOS技术来隐藏其恶意有效载荷，并避免被用户和Mac恶意软件扫描工具检测到。最新分析的Bundlore样本之一是由名为“ mysoftwarefree”的站点分发的。它捆绑在Windows Office 365的伪副本的安装包中。该站点指示用户从其设备中删除任何现有的Office版本，并从Microsoft下载免费的合法试用版。然后，要求用户单击按钮以下载没有限制的“ Office 365 ProPlus完整版”。
这就导致在用户计算机上安装了一个名为“ dmg”的文件，该文件只是一个macOS磁盘映像文件。在已安装的磁盘映像中，隐藏了Bundlore插入器。因此，威胁行动者滥用了资源分叉MacOS文件系统技术来存储结构化数据（如图像缩略图）以隐藏Bundlore的有效载荷。这是一个新技巧，许多传统的扫描引擎不会采用这种策略。所分析的Bundlore样本未进行代码签名，因此无需经过Apple的公证检查。因此，是否可以使用这种创新的反检测技术来避免对将来的恶意软件威胁进行公证检查仍是未知数。

即将撤除

诸如Bundlore之类的数据收集应用程序会给您的隐私带来巨大的未来风险，因此，一旦在Mac上发现它，您就应立即采取行动。但是，正如我们之前所说，由于秘密安装，Bundlore的弹性可能比您预期的要强。您经常在“应用程序”列表中找不到Bundlore，也不会在浏览器的扩展程序列表中看到它。此外，即使您将浏览器重置为其默认设置，该广告软件也可能幸免。这就是为什么暂时部署信誉良好的反恶意软件解决方案进行完整的系统扫描是检测和删除MacOS Bundlore PUP的最佳选择。