Bundlore
Bundlore, también conocido como Adware.MacOS. Originalmente dirigido a sistemas basados en Windows, Bundlore ahora también aterriza sin invitación en Mac. Investigaciones recientes también han detectado a Bundlore como una aplicación para dispositivos Mac llamada Shoptimizely, que se supone que proporciona una experiencia de compra mejorada para los usuarios. Sin embargo, su objetivo principal es recopilar datos de los usuarios y mostrar ofertas y tratos falsos.
Esta semana en Malware Episodio 32 Parte 2: MacOS Bundlore Loader Malware evade la detección al ocultar la carga útil en una bifurcación con nombre
Tabla de contenido
Cubriendo pistas
Según los informes, MacOS Bundlore llega como parte de otros paquetes de software o mediante actualizaciones de software falsas. En algunos casos, Bundlore puede infectar su sistema al hacer clic en una ventana emergente web. Independientemente de su método de distribución, se sabe que Bundlore es de naturaleza bastante encubierta y los usuarios de Mac rara vez se enteran hasta que la aplicación ya está instalada.
¿Que esperar?
Sabrá que ha tenido una infección por Bundlore cuando vea que su motor de búsqueda predeterminado se ha cambiado a searchmine (dot) net sin motivo aparente. A continuación, comenzará a verter ventanas emergentes, pancartas y todo tipo de anuncios en su navegador web hasta que ya no separe el trigo de la paja. Eventualmente, puede hacer clic sin darse cuenta en un anuncio cargado de malware, solo para saltar de la sartén al fuego. Al final, un PUP aparentemente inofensivo puede llevarlo a amenazas de malware mucho mayores en la Web. Sin embargo, la mayoría de las veces, solo generará ingresos para los anunciantes turbios que pagan a los desarrolladores de Bundlore para que promocionen esos anuncios de pago por clic. Finalmente, algunos de los riesgos asociados con Bundlore también podrían estar relacionados con la recolección de datos, incluidos los datos confidenciales y las credenciales de inicio de sesión. Una vez recopilados, no hay forma de saber hacia dónde se dirigirán esos datos.
Bundlore Adware utiliza una técnica innovadora para evitar la detección
Este año, los investigadores han observado una serie de nuevos desarrollos en el mercado de amenazas de malware que atacan a macOS. Bundlore Adware se ha convertido recientemente en el centro de atención al hacer lo contrario: una de sus nuevas variantes aprovecha una tecnología MacOS heredada para ocultar su carga útil maliciosa y evitar la detección tanto de los usuarios como de las herramientas de escaneo de malware de Mac. Una de las últimas muestras de Bundlore analizadas es distribuida por un sitio llamado "mysoftwarefree". Viene incluido en el paquete de instalación de una copia falsa de Windows Office 365. El sitio indica a los usuarios que eliminen cualquier versión de Office existente de su dispositivo y que descarguen la versión de prueba gratuita legítima de Microsoft. Luego, los usuarios deben hacer clic en un botón para descargar una "versión completa de Office 365 ProPlus" que no tiene limitaciones.
Eso da como resultado la instalación de un archivo llamado "dmg" en la computadora del usuario, que es simplemente un archivo de imagen de disco macOS. Dentro de esa imagen de disco montada se esconde el cuentagotas Bundlore. Por lo tanto, los actores de amenazas han hecho un mal uso de la tecnología del sistema de archivos MacOS de las bifurcaciones de recursos para almacenar datos estructurados, como miniaturas de imágenes, para ocultar la carga útil de Bundlore. Es un truco nuevo, y muchos motores de escaneo tradicionales no seguirían la táctica. La muestra de Bundlore analizada no tenía firma de código, por lo que no estaba sujeta a la verificación de Notarización de Apple. Por lo tanto, permanece abierto si esta innovadora técnica anti-detección se puede utilizar para evitar verificaciones de Notarización para futuras amenazas de malware.
Remoción inminente
Las aplicaciones de recopilación de datos como Bundlore plantean riesgos futuros sustanciales para su privacidad, por lo que debe actuar de inmediato tan pronto como lo haya detectado en su Mac. Sin embargo, como dijimos anteriormente, Bundlore puede resultar más resistente de lo que cabría esperar debido a su instalación encubierta. A menudo tendrá problemas para encontrar Bundlore en su lista de aplicaciones, ni lo verá en la lista de extensiones de su navegador. Además, el adware puede sobrevivir incluso si restablece su navegador a su configuración predeterminada. Por eso, implementar una solución antimalware de buena reputación para un análisis completo del sistema es la mejor opción para detectar y eliminar el PUP MacOS Bundlore por el momento.
