Bundlore
Bundlore, également connu sous le nom d'Adware.MacOS.Bundlore, MacOS Bundlore et Crossrider, est une application potentiellement indésirable (PUA) conçue pour regrouper des outils de type adware tiers dans un seul programme d'installation et les diffuser sur le Web. Ciblant à l'origine les systèmes Windows, Bundlore débarque désormais non invité sur Mac également. Des recherches récentes ont également détecté Bundlore comme une application pour les appareils Mac appelée Shoptimizely, censée fournir une expérience d'achat améliorée aux utilisateurs. Pourtant, son objectif principal est de collecter les données des utilisateurs et d'afficher de fausses offres et offres.
Cette semaine dans Malware Episode 32 Partie 2: MacOS Bundlore Loader Malware échappe à la détection en masquant la charge utile dans la fourche nommée
Table des matières
Couvrir des pistes
MacOS Bundlore arriverait dans le cadre d'autres offres groupées de logiciels ou via de fausses mises à jour logicielles. Dans certains cas, Bundlore peut infecter votre système suite à un clic sur une fenêtre contextuelle Web. Quelle que soit sa méthode de distribution, Bundlore est connu pour être de nature assez secrète et les utilisateurs de Mac le découvrent rarement tant que l'application n'est pas déjà installée.
À quoi s’attendre?
Vous saurez que vous avez eu une infection Bundlore lorsque vous verrez que votre moteur de recherche par défaut a été remplacé par searchmine (dot) net sans raison apparente. Ensuite, il commencera à déverser des pop-ups, des bannières et toutes sortes d'annonces dans votre navigateur Web jusqu'à ce que vous ne sépariez plus le bon grain de l'ivraie. Finalement, vous pouvez par inadvertance cliquer sur une publicité chargée de logiciels malveillants, pour passer de la poêle au feu. En fin de compte, un PPI apparemment inoffensif peut vous amener à des menaces de logiciels malveillants beaucoup plus importantes sur le Web. Le plus souvent, cependant, vous ne ferez que générer des revenus pour les annonceurs louches qui paient les développeurs de Bundlore pour promouvoir ces publicités au paiement par clic. Enfin, certains des risques associés à Bundlore pourraient tout aussi bien concerner la collecte de données, y compris les données sensibles et les identifiants de connexion. Une fois collectées, il n'y a aucun moyen de savoir dans quelle direction ces données se dirigeront.
Bundlore Adware utilise une technique innovante pour éviter la détection
Cette année, les chercheurs ont observé un certain nombre de nouveaux développements sur le marché des menaces de logiciels malveillants attaquant macOS. Bundlore Adware a récemment été mis à l'honneur en faisant le contraire: l'une de ses nouvelles variantes exploite une technologie MacOS héritée pour masquer sa charge utile malveillante et éviter la détection à la fois par les utilisateurs et les outils d'analyse de logiciels malveillants Mac. L'un des derniers échantillons de Bundlore analysés est distribué par un site appelé «mysoftwarefree». Il est livré dans le package d'installation d'une fausse copie de Windows Office 365. Le site demande aux utilisateurs de supprimer toute version d'Office existante de leur appareil et de télécharger l'essai gratuit légitime de Microsoft. Les utilisateurs doivent ensuite cliquer sur un bouton pour télécharger une «version complète d'Office 365 ProPlus» sans limitation.
Cela entraîne l'installation d'un fichier appelé «dmg» sur l'ordinateur de l'utilisateur, qui est simplement un fichier d'image disque macOS. À l'intérieur de cette image de disque montée se cache le compte-gouttes Bundlore. Ainsi, les acteurs de la menace ont abusé de la technologie du système de fichiers MacOS des fourchettes de ressources pour stocker des données structurées, comme des vignettes d'images, afin de masquer la charge utile de Bundlore. C'est une nouvelle astuce, et de nombreux moteurs d'analyse traditionnels ne reprendraient pas la tactique. L'échantillon Bundlore analysé n'était pas signé de code, il n'a donc pas été soumis au contrôle de notarisation d'Apple. Par conséquent, il reste à savoir si cette technique anti-détection innovante peut être utilisée pour éviter les contrôles de notarisation pour les futures menaces de logiciels malveillants.
Suppression imminente
Les applications de collecte de données telles que Bundlore présentent des risques futurs importants pour votre vie privée, c'est pourquoi vous devez agir immédiatement dès que vous l'avez repérée sur votre Mac. Comme nous l'avons dit plus tôt, cependant, Bundlore peut s'avérer plus résilient que vous ne le pensez en raison de son installation secrète. Vous aurez souvent du mal à trouver Bundlore dans votre liste d'applications, et vous ne le verrez pas non plus dans la liste des extensions de votre navigateur. De plus, l'adware peut survivre même si vous réinitialisez votre navigateur à ses paramètres par défaut. C'est pourquoi, déployer une solution anti-malware réputée pour une analyse complète du système est le meilleur moyen de détecter et de supprimer le PUP MacOS Bundlore pour le moment.
