Sophos(LSE:Soph)是一系列下一代网络安全的全球领导者,分析了一个特别激进的Sophos示例,即粗略的软件安装程序,它在安装一个合法应用程序的幌子下丢弃多个不需要的应用程序,目标MacOS Catalina用户。此安装程序共携带七个“潜在的不需要的应用程序”(PUAS),其中包括三个针对Safari Web浏览器的用于注入广告,劫持下载链接,并为窃取用户点击以生成的目的重定向搜索查询收入。至少一个案例中的注射含量用于恶性–弹出一个恶意广告,提示下载假Adobe闪存更新。

Sophos将安装程序确定为属于Bundlore系列,这是一个常见的MacOS BundleWare安装程序系列。 Bundlore是麦斯科斯平台最常见的“Bundleware”安装程序之一,它占SOPHOS检测到的麦斯科斯平台的近似七分效率,使其成为影响MACOS的第二个最常见的“坏软件”威胁(Genieo排名第一)。 Bundlore也是Windows的常见威胁,主要携带Google Chrome的扩展,并且用于瞄准Chrome的一些代码与宏共享–针对广告软件的版本。

分析的Bundlore样本包含多个Safari延期有效载荷,包括新的App扩展格式中的两个。 extensions,本质上,可以处理和修改Safari中查看的网页内容。然而,这些扩展是“广告软件”。它们包含注入新的广告和链接的代码,包括下载链接,甚至从选择搜索引擎网页中重定向的搜索查询。从远程服务器中拉出两个扩展的代码也揭示了这些广告软件如何为其开发人员赚钱的一些细节。

PAA是麦克斯最常见的隐私和安全威胁之一。由于它们可能潜行个人数据并充当恶意和其他恶意软件的途径,Sophos(以及其他端点保护产品)作为规则阻止PUA。 Apple在MacOS中的Xprotect功能也会阻止已知的Bundlore有效载荷,并且Apple也撤消与它们关联的开发人员签名,阻止它们在当前麦克斯版本上执行。

“像Bundlore广告软件这样的潜在不需要的应用程序是对麦斯卡斯用户最常见的安全威胁。广告软件开发人员不仅可以更新其方法,以适应苹果公司和澳门队和野生动物园的最新变化,但在某些情况下他们’还可以使用单个安装程序删除多个PUA有效载荷。这些PAAS超越了将广告注入网站,它们在用户的位置重定向’S浏览器搜索是为了窃取Colume for Money的目的,甚至更改软件下载链接。当一个不熟悉的应用程序试图安装浏览器扩展时,用户应该谨慎行事,并在未知来源下载来自未知来源的软件并保持警报,“索菲斯的高级威胁研究人员Xinran Wu说。

有关新Bundlore广告软件的详细信息,您可以访问Sophoslabs未切割文章。

喜欢这篇文章?跟随漩涡扶手 Facebook, YouTube, 和 Instagram..