Sophos Labs a découvert un nouveau programme d'installation de logiciels pour macOS qui installe plusieurs applications indésirables ou «bundleware» sur les systèmes des utilisateurs sous le guide d'installation d'une application légitime.
Le programme d'installation, qui cible principalement les utilisateurs de macOS Catalina, comprend un total de sept «applications potentiellement indésirables» (PUA), dont trois qui ciblent le navigateur Web Safari d'Apple pour injecter des publicités, détourner des liens de téléchargement et rediriger les requêtes de recherche dans le but de voler les utilisateurs. clics pour générer des revenus. Dans au moins un cas, le contenu injecté a été utilisé pour faire de la publicité en affichant une annonce malveillante qui a incité les utilisateurs à télécharger une fausse mise à jour Adobe Flash.
Sophos a identifié le programme d'installation comme appartenant à la famille Bundlore. Bundlore est une famille d'installation de bundleware macOS commune qui représente près de sept pour cent de toutes les attaques détectées par la société de sécurité ciblant le système d'exploitation d'Apple.
Bundlore est également utilisé pour cibler les utilisateurs Windows via des extensions pour Google Chrome et une partie du code utilisé pour cibler Chrome est partagée avec les versions de l'adware qui ciblent macOS.
Sommaire
Bundlelore
Les récents échantillons macOS découverts par Sophos se distinguent des versions précédentes de Bundlore en raison du fait qu'ils ont été mis à jour pour suivre les changements récents dans macOS et Safari, en particulier les changements d'Apple au format des extensions de navigateur Safari.
L'échantillon Bundlore analysé contenait plusieurs charges utiles d'extension Safari, dont deux dans le nouveau format d'extension d'application. Cependant, ces extensions ont été un logiciel publicitaire contenant du code qui injectait de nouvelles publicités et des liens de téléchargement et redirigeait même les requêtes de recherche de certains moteurs de recherche. Sur la base d'un code provenant d'un serveur distant prenant en charge deux extensions, Sophos a découvert des dizaines de noms d'affiliés de recherche liés à l'injecteur d'annonces et à la charge utile de modification de la recherche ainsi que des codes d'affiliation utilisés pour profiter des visites sur d'autres sites.
Les PUA sont parmi les menaces de sécurité les plus courantes pour macOS car elles peuvent voler des données personnelles et servir de voie à la fois aux malverseurs et aux autres logiciels malveillants. Heureusement, le logiciel de protection des terminaux est capable de bloquer les PUA et la fonction XProtect d'Apple sous macOS peut bloquer les charges utiles Bundlore connues.
Dans un article de blog, Sean Gallagher et Xinran Wu de Sophos ont fourni un aperçu des conclusions de la société de sécurité:
"Sur la base de ces exemples et d'autres que nous avons observés, il est clair que les développeurs de logiciels publicitaires adoptent clairement la transition vers le format Safari App Extension et mettent à jour leurs scripts de charge utile. Les extensions de navigateur sont de plus en plus populaires à mesure que les applications migrent vers le cloud et que les navigateurs Web deviennent le composant le plus utilisé des systèmes d'exploitation. Ils continueront donc à être la cible d'escroqueries telles que les logiciels publicitaires. »
