- Der Vergleich
- Video
- Dieser wenig bekannte Malware-Stamm bedroht die Privatsphäre von Mac-Benutzern
Sophos Labs hat ein neues Software-Installationsprogramm für macOS entdeckt, das unter der Installationsanleitung einer legitimen Anwendung verschiedene unerwünschte Anwendungen oder „Bundles“ auf den Systemen der Benutzer installiert. Das Installationsprogramm, das sich in erster Linie an Benutzer von macOS Catalina richtet, enthält insgesamt sieben „potenziell unerwünschte Anwendungen“ (PUAs), von denen drei auf Apples Safari-Webbrowser abzielen, um Werbung einzuschleusen, Download-Links zu kapern und Suchanfragen umzuleiten, um Benutzer zu stehlen. Klicks, um Einnahmen zu generieren. In mindestens einem Fall wurde der eingeschleuste Inhalt zur Werbung genutzt, indem eine böswillige Anzeige geschaltet wurde, die Benutzer dazu aufforderte, ein gefälschtes Adobe Flash-Update herunterzuladen. Sophos identifizierte das Installationsprogramm als zur Familie Bundlore gehörend. Bundlore ist eine weit verbreitete Familie von Installationsprogrammen für macOS-Softwarepakete, die für fast sieben Prozent aller vom Sicherheitsunternehmen erkannten Angriffe auf das Betriebssystem von Apple verantwortlich sind. Bundlore wird auch verwendet, um Windows-Benutzer über Erweiterungen für Google Chrome anzusprechen, und ein Teil des Codes, der für die Ausrichtung auf Chrome verwendet wird, wird mit Versionen der Adware geteilt, die auf macOS abzielen.
Bundlelore
Die kürzlich von Sophos entdeckten macOS-Beispiele unterscheiden sich von früheren Bundlore-Versionen darin, dass sie aktualisiert wurden, um mit den jüngsten Änderungen an macOS und Safari Schritt zu halten, insbesondere Apples Änderungen am Format der Safari-Browsererweiterungen. . Das analysierte Bundlore-Beispiel enthielt mehrere Safari-Erweiterungsnutzlasten, von denen zwei im neuen App-Erweiterungsformat vorlagen. Allerdings handelte es sich bei diesen Erweiterungen um Adware, die Code enthielt, der neue Anzeigen und Download-Links einspielte und sogar Suchanfragen von bestimmten Suchmaschinen umleitete. Basierend auf Code von einem Remote-Server, der zwei Erweiterungen unterstützt, entdeckte Sophos Dutzende von Suchpartnernamen, die mit der Ad-Injektor- und Suchmodifikationsnutzlast in Zusammenhang stehen. B. Affiliate-Codes, die dazu verwendet werden, Besuche auf anderen Websites zu nutzen. PUAs gehören zu den häufigsten Sicherheitsbedrohungen für macOS, da sie persönliche Daten stehlen und als Einfallstor für Unterschlagung und andere Malware dienen können. Glücklicherweise kann Endpunktschutzsoftware PUAs blockieren und die XProtect-Funktion von Apple unter macOS kann bekannte Bundlore-Payloads blockieren. In einem Blogbeitrag gaben Sean Gallagher und Xinran Wu von Sophos einen Überblick über die Ergebnisse des Sicherheitsunternehmens: „Anhand dieser und anderer Beispiele, die wir gesehen haben, ist klar, dass Adware-Entwickler den Übergang eindeutig begrüßen.“ zur Safari App Extension formatieren und seine Nutzlastskripte aktualisieren. Browsererweiterungen sind „Da Anwendungen in die Cloud migrieren und Webbrowser zur am häufigsten verwendeten Komponente von Betriebssystemen werden, werden sie immer beliebter und werden weiterhin zum Ziel von Betrügereien wie Adware.“