Eksperci firmy Sophos wykryli nowy rodzaj złośliwego oprogramowania na systemy macOS Catalina. Kolejna odsłona tzw. Bundlore, pod przykrywką legalnych, popularnych aplikacji i bez wiedzy użytkownika, instaluje szereg niepożądanych programów, w tym dodatki przeglądarki internetowej – Safari.
Złośliwe rozszerzenia mogą zbierać informacje o aktywności w sieci, podstawiać reklamy na odwiedzanych stronach i przekierowywać wyniki wyszukiwania. Celem jest m.in. zarabianie na generowanych sztucznie odsłonach stron i kliknięciach nieświadomych użytkowników.
Oprogramowanie Bundlore odpowiada za niemal 7% wszystkich ataków na system macOS wykrytych przez Sophos. Nowe wersje działają pod przykrywką instalacji odtwarzacza wideo, m.in. Flash Playera. Po uruchomieniu pobranego pliku dodają „rekomendowane aplikacje” podczas domyślnej, natychmiastowej instalacji. Uzyskane w ten sposób rozszerzenia przeglądarki, takie jak MyCouponSmart czy AnySearch, zmieniają zawartość stron internetowych odwiedzanych przez użytkownika oraz stronę główną Safari na własną – searchmine[.]net.
Przestępcy przekierowują w ten sposób zapytania z wyszukiwarki na podstawione strony, aby „nabijać” kliknięcia i czerpać zyski z reklam. Ponieważ zmieniają stronę z poziomu samej przeglądarki, użytkownik nie otrzymuje żadnych ostrzeżeń dotyczących bezpieczeństwa witryny.
Wprowadzone przez Apple funkcje systemu macOS oraz przeglądarki Safari blokują tego typu programy, dlatego oszuści zaktualizowali swój sposób działania. Nieustannie usuwają i tworzą nowe konta deweloperskie, aby uniknąć umieszczenia przez Apple na czarnej liście, regularnie zmieniają też części kodu.
