本德洛爾
Bundlore,也稱為Adware.MacOS.Bundlore,MacOS Bundlore和Crossrider,是一種潛在有害的應用程序(PUA),旨在將類似於第三方adware的工具捆綁在單個安裝程序中,並通過Web進行傳播。 Bundlore最初是針對基於Windows的系統,現在也不需要在Mac上登陸。最近的研究還發現Bundlore是Mac設備上名為Shoptimizely的應用程序,可以為用戶提供改善的購物體驗。但是,其主要目的是收集用戶數據並顯示虛假交易和要約。
本週惡意軟件第32集第2部分:MacOS Bundlore Loader惡意軟件通過隱藏有效載荷隱藏命名叉來逃避檢測
目錄
覆蓋軌道
據報導,MacOS Bundlore是作為其他軟件包的一部分提供的,或者是通過虛假的軟件更新而提供的。在某些情況下,單擊Web彈出窗口後,Bundlore可能感染您的系統。無論採用哪種分發方式,Bundlore本質上都是秘密的,並且Mac用戶在安裝該應用程序之前很少發現它。
期待什麼?
當您看到默認的搜索引擎無故被更改為searchmine(dot)net時,您將知道您感染了Bundlore。接下來,它將開始將彈出窗口,橫幅和各種廣告傾倒在您的Web瀏覽器中,直到您不再將小麥與穀殼分開為止。最終,您可能無意間點擊了一個裝有惡意軟件的廣告,只是從平底鍋跳入了大火。最後,看似無害的PUP可能使您面臨Web上更大的惡意軟件威脅。但是,您經常會把收益帶給那些向Bundlore的開發人員付款以推廣那些按點擊付費的廣告的陰暗廣告商。最後,與Bundlore相關的某些風險也可能與數據收集有關,包括敏感數據和登錄憑據。一旦收集,就無法知道這些數據將往何處去。
Bundlore廣告軟件使用創新技術來避免檢測
今年,研究人員觀察到了市場上針對攻擊macOS的惡意軟件威脅的許多新發展。 Bundlore廣告軟件最近通過相反的方式引起了人們的關注–一種新的變體利用了傳統的MacOS技術來隱藏其惡意有效載荷,並避免被用戶和Mac惡意軟件掃描工具檢測到。最新分析的Bundlore樣本之一是由名為“ mysoftwarefree”的站點分發的。它捆綁在Windows Office 365的偽副本的安裝包中。該站點指示用戶從其設備中刪除任何現有的Office版本,並從Microsoft下載免費的合法試用版。然後,要求用戶單擊按鈕以下載沒有限制的“ Office 365 ProPlus完整版”。
這就導致在用戶計算機上安裝了一個名為“ dmg”的文件,該文件只是一個macOS磁盤映像文件。在已安裝的磁盤映像中,隱藏了Bundlore插入器。因此,威脅行動者濫用了資源分叉MacOS文件系統技術來存儲結構化數據(如圖像縮略圖)以隱藏Bundlore的有效載荷。這是一個新技巧,許多傳統的掃描引擎不會採用這種策略。所分析的Bundlore樣本未進行代碼簽名,因此無需經過Apple的公證檢查。因此,是否可以使用這種創新的反檢測技術來避免對將來的惡意軟件威脅進行公證檢查仍是未知數。
即將撤除
諸如Bundlore之類的數據收集應用程序會給您的隱私帶來巨大的未來風險,因此,一旦在Mac上發現它,您就應立即採取行動。但是,正如我們之前所說,由於秘密安裝,Bundlore的彈性可能比您預期的要強。您經常在“應用程序”列表中找不到Bundlore,也不會在瀏覽器的擴展程序列表中看到它。此外,即使您將瀏覽器重置為其默認設置,該廣告軟件也可能倖免。這就是為什麼暫時部署信譽良好的反惡意軟件解決方案進行完整的系統掃描是檢測和刪除MacOS Bundlore PUP的最佳選擇。
