s0482-bundlore - RunkIntel

# Bundlore > Tipo: **malware** · S0482 · [MITRE ATT&CK](https://attack.mitre.org/software/S0482) ## Descrição [[s0482-bundlore|Bundlore]] é um adware escrito para macOS que está em uso desde pelo menos 2015. Embora categorizado como adware, [[s0482-bundlore|Bundlore]] possui muitos recursos associados a backdoors mais tradicionais, incluindo execução de shell scripts, captura de credenciais via interfaces gráficas falsas e estabelecimento de persistência. É distribuído principalmente via downloads de software falso ou bundling com aplicativos gratuitos, frequentemente disfarçado como atualizações de Flash Player ou codecs de mídia. O [[s0482-bundlore|Bundlore]] emprega múltiplas técnicas de evasão, incluindo disfarce como recurso legítimo (T1036.005), scripts Python ofuscados (T1059.006) e ocultação de artefatos (T1564). Para persistência, instala Launch Agents (T1543.001) que sobrevivem a reinicializações do sistema. O adware captura credenciais através de interfaces gráficas enganosas (T1056.002 - GUI Input Capture) e coleta informações do sistema macOS, incluindo versão do SO e software instalado (T1518). Exfiltração ocorre via protocolos alternativos (T1048) para domínios de publicidade maliciosa. Embora o [[s0482-bundlore|Bundlore]] sejá técnicamente classificado como adware, sua estrutura de código e capacidades foram estudadas como base para campanhas de malware macOS mais sofisticadas. Pesquisadores da Malwarebytes e da SentinelOne documentaram múltiplas variantes, com algumas versões incluindo capacidades de download de payloads secundários e modificação de configurações SSH (T1098.004). O malware representa uma ameaça crescente para ambientes macOS corporativos que subestimam ameaças classificadas como adware. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1564-hide-artifacts|T1564 - Hide Artifacts]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1098-004-ssh-authorized-keys|T1098.004 - SSH Authorized Keys]] - [[t1059-006-python|T1059.006 - Python]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1056-002-gui-input-capture|T1056.002 - GUI Input Capture]] ## Detecção - **macOS Unified Log**: monitorar criação de Launch Agents em `~/Library/LaunchAgents/` (T1543.001) por processos que não sejam instaladores de software legítimo assinados pela Apple ou pelo desenvolvedor - **EDR macOS**: alertar em execução de scripts Python (T1059.006) por processos de instalação que solicitam acesso a Keychain ou Accessibility - indicativo de captura de credenciais (T1056.002) - **Telemetria de Rede**: detectar conexões de saída para domínios de publicidade ou adware conhecidos a partir de aplicativos instalados recentemente; monitorar drive-by compromise (T1189) via análise de logs de proxy web - **Referência Sigma**: `macos_launchagent_creation_via_osascript.yml` para detecção de criação de Launch Agents via scripts ## Relevância LATAM/Brasil O [[s0482-bundlore|Bundlore]] e adwares similares para macOS têm presença significativa no Brasil dado o crescimento do uso de MacBooks em ambientes corporativos e entre usuários de alta renda. A distribuição via bundling com software pirata - prática comum no Brasil - aumenta o vetor de exposição. Empresas brasileiras de tecnologia e startups com forte cultura de uso de macOS devem implementar políticas de MDM (Mobile Device Management) e monitoramento de Launch Agents para mitigar o risco de [[s0482-bundlore|Bundlore]] e variantes. A combinação de adware com capacidades de backdoor torna essa ameaça subestimada em avaliações de risco corporativo. ## Referências - [MITRE ATT&CK - S0482](https://attack.mitre.org/software/S0482)