Bundler

Bundler — установочный пакет, объединяющий желаемое приложение с одной или несколькими скрытыми нагрузками, которые:

• устанавливаются по умолчанию, часто под видом «рекомендованного ПО»;
• могут быть рекламным ПO (adware), шпионским ПО (spyware), загрузчиками троянов либо другими вредоносными модулями;
• используют социальную инженерию и обманчивый интерфейс, чтобы пользователь не отказался от установки^[3];
• после установки закрепляются в системе, изменяют настройки браузера, собирают данные и снижают производительность устройства^[4].

Термин «bundler» пришёл в сферу кибербезопасности из легитимной разработки программного обеспечения, где он обозначает инструменты, упаковывающие код и его зависимости в единый пакет для развёртывания. Примерами служат менеджер зависимостей Ruby Bundler^[5] и сборщики для веб-разработки, такие как Webpack^[6]. В контексте информационной безопасности понятие было адаптировано для описания программы-установщика, которая «связывает» желаемое приложение с нежелательными или вредоносными компонентами^[7]. Конкретного автора у термина нет, он возник органически для описания данного метода распространения ПО.

Практика объединения легитимного ПО с дополнительными программами (часто рекламными — adware) для монетизации стала массовой в начале 2000-х годов^[8]. Хотя сам термин «bundler» ещё не был официальной классификацией, его ранние упоминания в контексте анализа угроз относятся к 2005 году. В январе 2005 года в обзоре бета-версии Microsoft AntiSpyware было использовано словосочетание «Adware Bundler», а в апреле того же года на русскоязычном техническом форуме пользователь опубликовал отчёт антивирусной утилиты с обнаруженной угрозой Bundler/CAB/RealArcadeRdxIE.cab^[9]. В этот период подобные угрозы чаще классифицировались под общими категориями, такими как PUP (Potentially Unwanted Program) или Adware.

Формализация термина и его широкое использование в качестве официальной классификации угроз начались в первой половине 2010-х годов^[10]. Антивирусные компании стали выделять «бандлеры» в отдельную категорию для более точного описания метода доставки вредоносного ПО. В 2013 году Microsoft указывала, что угроза Adware:Win32/Lollipop распространяется через «software bundler»^[11]. К 2014 году компания начала активно применять классификацию SoftwareBundler, например, для угрозы SoftwareBundler:Win32/SquareNet. Впоследствии и другие вендоры, такие как Malwarebytes^[12] и F-Secure, также стали использовать аналогичную терминологию (например, PUP.Optional.BundleInstaller или Bundler.FusionCore.CG).

• Упаковка (Bundling) — объединение легитимного установщика и скрытых компонентов в один исполняемый файл^[13].
• Обманное распространение — размещение пакета на сторонних сайтах бесплатных загрузок, торрент-порталах, в фишинговых письмах.
• Installer Executable — исполняемый файл, содержащий логику развёртывания как основной, так и скрытой нагрузки^[14].
• Скрытая установка — предварительно отмеченные опции, «расширенный режим» по умолчанию скрыт, вводящие в заблуждение кнопки.
• Компоненты обхода защиты — обфускация, изменение хешей, проверка на виртуальную среду, задержки выполнения.
• Механизм запуска — добавление ключей реестра, служб или запланированных задач для автозапуска нежелательного ПО после инсталляции.

Типовые индикаторы компрометации (IoC), характерные для Bundler:

• хеш-суммы исполняемых файлов, постоянно изменяемые для обхода сигнатурных антивирусов^[15];
• домены и URL загрузчиков, часто ротуируемые или расположенные в облачных хранилищах;
• записи автозапуска в HKCU/HKLM (Run, RunOnce), специфические ключи вроде HKCU\Software\csastats;
• сетевые обращения к C2-узлам через динамический DNS;
• параметры командной строки.

• Векторы доставки — сайты бесплатного ПО, SEO-отравление, пиратские сборки, скрытые загрузки, фишинг.
• Персистентность — службы, запланированные задачи, LaunchAgents/Daemons (macOS), объекты-помощники браузера.
• Обход антивирусов — полиморфизм, шифрование кода, руткиты, запуск «бесфайловых» скриптов в памяти.
• Эскалация привилегий — эксплуатация уязвимостей, инъекция в svchost.exe, создание задач с /rl HIGHEST.
• Сокрытие — timestomping, размещение файлов в AppData/ProgramData, инъекция в легитимные процессы, стеганография.

Мотивация злоумышленников носит преимущественно финансовый характер — платёж за показ рекламы, продажа украденных данных либо последующая монетизация доступа.

Отраслевая статистика показывает особую уязвимость игровых, финансовых и SOHO-секторов, где пользователи активно ищут бесплатные или взломанные версии ПО^[16].

Тенденции последних лет показывают усиление атак на цепочки поставок. На фоне геополитической напряжённости злоумышленники упаковывают вредоносные компоненты в обновления легитимного ПО^[17], а также размещают вредоносные пакеты, замаскированные под легитимные инструменты, в публичных репозиториях, таких как PyPI и npm. Рост числа и активности хакерских группировок дополнительно повышает эффективность подобных атак^[18].

Согласно отчётам по кибербезопасности, в 2025 году наблюдается значительный рост использования загрузчиков и бандлеров. Во втором квартале 2025 года доля загрузчиков, применяемых для многоэтапной доставки вредоносного ПО (троянов, инфостилеров и шифровальщиков), выросла в три раза^[19]. За тот же период 76 % успешных атак на организации были осуществлены с использованием ВПО (рост на 26 % по сравнению с первым кварталом), а их последствиями чаще всего становились утечки конфиденциальных данных (52 % случаев) и нарушение основной деятельности (45 %)^[19]. В целом, число обнаруженных угроз в первом квартале 2025 года выросло на 7,23 % по сравнению с концом 2024 года^[20].

Злоумышленник определяет цели (adware, стилер, криптомайнер), выбирает легитимное приложение-«приманку», каналы распространения и инфраструктуру (хостинг файлов, C2, SEO-инструменты). Критерий успеха — число установок в требуемом регионе^[21].

Перед запуском вредоносный установщик собирает сведения о ОС, локализации, признаках виртуальной машины, списке процессов и аппаратных характеристиках, отфильтровывая песочницы и аналитические окружения^[22].

Собранные данные используются для решения, какая нагрузка подходит жертве, и для проверки, не является ли среда песочницей. При выявлении VM запуск может быть отменён или отложен^[23].

Бандлеры распространяются через пиратские сайты, торрент-треки, поддельные страницы обновлений и фишинговые письма. Пользователь считает, что скачивает нужную программу, но запускает комбинированный установщик^[2].

После установки встроенный трекер отправляет на C2 статистику успешных заражений, регион, версию ОС и данные о срабатываниях антивируса. Эти метрики используются для модификации кода и тактик обхода защиты^[24].

• Незаметная установка скрытых компонентов без явного согласия пользователя^[14].
• Массовое распространение через популярное бесплатное ПО.
• Обход традиционных сигнатур благодаря изменению хешей и упаковке.
• Финансовая выгода по модели Pay-Per-Install (PPI)^[25].

• Для пользователя — установка PUP, снижение производительности, утечка данных и возможное заражение серьёзной малварью^[26].
• Для злоумышленника — высокое число ложных установок, необходимость постоянного обновления кода из-за быстрого появления сигнатур, риск блокировок хостинга и доменов.

• Пользовательский сегмент — распространение взломанных игр, «кряков», медиа-кодеков.
• Финансовые организации — кража учётных данных онлайн-банкинга.
• Государственные учреждения — деструктивный хактивизм, шпионаж.
• Критическая инфраструктура — попытки внедрения в цепочки поставок программного обеспечения^[16].

• InstallCore — коммерческий установщик, часто классифицируемый как PUP^[27].
• OfferCore — рекламный модуль, изменяющий поведение браузера.
• OpenCandy — прекратил работу в 2016 году после обвинений в распространении нежелательного ПО^[28].

• Pay-Per-Install сети: PrivateLoader, InstallMonetizer, Raccoon PPI — платят аффилиатам за каждую успешную установку.

• Открытые: AlienVault OTX, Abuse.ch ThreatFox, MISP^[29].
• Коммерческие: CrowdStrike Falcon Intelligence, Anomali ThreatStream, Bitdefender RTI.

Индикаторы Bundler (хеши, домены, URL) импортируются в SIEM, EDR, SOAR и NGFW через STIX/TAXII или CSV-фиды. На их основе создаются правила корреляции и плейбуки автоматического реагирования: блокировка доменов, изоляция конечной точки, удаление зловреда^[30].