Site icon Sophos News

El adware Bundlore trae nuevos riesgos a los usuarios de Mac

Hace aproximadamente una década, muchos usuarios de Mac solían afirmar con mucha confianza que no necesitaban antivirus “porque los Mac no tienen malware”.

Admitirían que el malware para Mac era teóricamente posible, pero señalaban que debido a que nunca se encontraron con problemas, problemas que sabían que existían, y nunca habían escuchado a un usuario de Mac pidiendo ayuda por un ataque de malware, habían decidido ignorar por completo el problema del software malicioso.

Algunos fanáticos de Mac fueron más allá, asegurando que los Mac eran inmunes al malware porque se basaban en Unix: afirmaban que Unix no podía tener virus porque el sistema operativo era completamente diferente de Windows internamente y era seguro contra el malware por diseño.

Estas afirmaciones se desmiente con tan solo un ejemplo de malware Unix, lo que se podría llamar una prueba de existencia, para desacreditar la teoría, como el famoso Morris Worm que derribó Internet en noviembre de 1988.

Por supuesto, hemos escrito sobre el malware de Mac, incluidos zombis, ladrones de datos, ransomware y muchos otros tipos de malware, muchas veces desde 1988.

Incluso Apple llegó a la fiesta antivirus en 2009 cuando introdujo una herramienta rudimentaria de bloqueo de malware llamada XProtect directamente en OS X (ahora macOS).

Ya sea si lo has llamado malware o no, durante mucho tiempo ha habido “actores de software” listos para perseguir a los usuarios de Mac de la misma manera que han estado persiguiendo a los usuarios de Windows durante años.

Bueno, nada ha cambiado: aunque es probable que tengas más probabilidades de recibir software malicioso o no deseado en Windows, no estás libre solo porque estar usando un Mac.

De hecho, SophosLabs acaba de publicar un nuevo informe sobre una amenaza de adware conocida como Bundlore que tiene muy en cuenta a los usuarios de Mac.

Bundlore en sí no es nuevo: los productos de Sophos han detectado una familia de adware con ese nombre tanto en Windows como en Mac desde aproximadamente 2015, pero los operadores detrás de él ciertamente están al día con los tiempos.

Como su nombre lo indica, Bundlore no es realmente un elemento de adware, sino lo que a SophosLabs le gusta llamar bundleware: un instalador de software que lo atrae, por ejemplo, con la promesa de permitirle “descargar, reproducir y organizar archivos de terceros, vídeos, audio y otro contenido”.

Como puedes ver, la versión para Mac del instalador de Bundlore, que llega como un archivo DMG de Mac (imagen de disco) y presenta una aplicación llamada WebTools, pasa por un proceso de aceptación de licencia de aspecto legítimo.

La licencia explica que mucho de lo que suceda a continuación dependerá de lo que puedan hacer varios “terceros” no identificados, de la misma manera que un motor de búsqueda le advierte que no puede responder por el contenido de las páginas que cree que te pueden interesar.

Por esa razón, los productos de Sophos no detectan Bundlore como malware directo, pero los instaladores de Bundlore están bloqueados de forma predeterminada como PUA, abreviatura de aplicaciones potencialmente no deseadas, para que no te lleves una sorpresa.

Por ejemplo, en la pantalla de instalación anterior, SophosLabs señala que si decide evitar la “Instalación rápida” anterior y opta por una “Instalación personalizada”, cuya presencia suena tranquilizadora, como si no se te obligara a nada, al final no te dan la opción de salir:

Como explica el informe:

Los PUA se encuentran entre las amenazas de privacidad y seguridad más comunes para macOS. Dado que potencialmente pueden robar datos personales y actuar como una vía para la publicidad maliciosa y otros tipos de malware, Sophos (y otros productos de protección de endpoint) bloquean los PUA como regla general. La función XProtect de Apple en MacOS también bloquea las cargas útiles conocidas de Bundlore, y Apple también revoca las firmas de desarrollador asociadas con ellas, impidiendo su ejecución en […] macOS.

Lo que vas a aprender

Para conocer los riesgos que pueden acarrear este tipo de software inocente en la superficie, te recomendamos que leas el informe, que deconstruye las técnicas utilizadas por el adware Bundlore para alterar su experiencia de navegación de manera sutil e insegura.

Cabe destacar que las versiones recientes de Bundlore para Mac son compatibles simultáneamente con las versiones anteriores y nuevas de Safari para Mac, incluidos los complementos del navegador que funcionan en todas las versiones recientes de macOS.

(Safari 13, que llegó con macOS 13, más conocido como Catalina, requiere un formato diferente para los plugins de su navegador que Safari en versiones anteriores de macOS).

Recuerda que los plugins del navegador funcionan directamente dentro del navegador, por lo que pueden ver las solicitudes web antes de salir y las respuestas web antes de que se procesen para su visualización.

Eso significa que pueden espiar y modificar su tráfico web a pesar del uso del cifrado TLS (lo que se conoce como HTTPS, abreviatura de HTTP seguro), porque los plugins operan antes de que el cifrado se aplique al tráfico saliente, y después de que el cifrado se haya eliminado de tráfico entrante.

SophosLabs profundiza en los detalles de dos de estos plugins de Bundlore, llamados AnySearch y MyCouponSmart: el informe revela cómo funcionan estos plugins, escrito en un estilo que es lo suficientemente técnico como para dar muchos detalles, pero no tan técnico como para tener que ser un desarrollador web para comprender los riesgos.

En particular, estos complementos pueden secuestrar los resultados de búsqueda para ganar crédito de afiliado para el equipo de Bundlore, alterar las respuestas de búsqueda por completo para sesgar los resultados y reescribir enlaces de descarga para obtener contenido falso:

Los operadores de [A]dware están diversificando sus fuentes de ingresos. Y, como lo demuestra el comportamiento de reemplazo del enlace de descarga de estos scripts, los operadores de adware están encontrando nuevas formas de aprovechar su control sobre el contenido de los navegadores web, y el resultado podría ser nuevos riesgos de privacidad y seguridad.

¡Tened cuidado! Y para ayudar nos complace decir que Sophos Home puede bloquear malware, PUA y descargas web poco fiables en Windows y Mac de forma gratuita.

Exit mobile version