Apple păstrează informațiile malware de la firmele antivirus: cercetător

Apple păstrează informații cruciale despre atacurile malware ascunse firmelor antivirus? Un cercetător de securitate proeminent crede că ar putea fi.

Patrick Wardle, despre ale cărui descoperiri le-am scris de mai multe ori pe Tom's Guide, a analizat luna trecută o nouă tulpină de malware pentru Mac numită Windshift. El a observat că Apple a revocat certificatul digital care permite instalarea malware-ului pe Mac. Asta e bine.

Dar când Wardle a verificat VirusTotal, un depozit online de programe malware cunoscute, doar două dintre cele câteva motoare antivirus de detectare a programelor malware antivirus au putut detecta Windshift. Niciunul dintre motoarele malware nu a identificat alte trei variante Windshift.

Pentru Wardle, acest lucru ar putea însemna doar un singur lucru: Apple a găsit malware fără să le spună companiilor antivirus. E rău, pentru că oricine era deja infectat s-ar putea să nu fi aflat niciodată. În lumea antivirusului, ar trebui să distribuiți aceste informații cât mai curând posibil pentru a menține imunitatea turmei.

„Înseamnă asta că Apple nu împărtășește malware / amenințări-informații valoroase cu comunitatea AV, împiedicând crearea de semnături AV răspândite care pot proteja utilizatorii finali ?!” A întrebat Wardle în postarea sa de pe blog. "Da."

Windshift pare să vizeze anumite persoane din Orientul Mijlociu ca parte a unei campanii de spionaj sponsorizate de stat. Acesta a fost dezvăluit pentru prima dată de cercetătorul DarkMatter, Taha Karim, la conferința GSEC Hack in the Box din Singapore din august anul trecut.

Programul malware infectează Mac-urile de pe site-urile web rău intenționate într-un proces cu mai multe etape, ultimul pas al acestuia, la fel ca majoritatea malware-ului Mac, implică înșelarea utilizatorului pentru a permite instalarea malware-ului.

Pentru a ușura această înșelăciune, Windshift se prezintă ca diverse documente Microsoft Office pentru Mac, completate cu pictograme Office frumoase. Versiunea detaliată de Karim și la care Wardle s-a uitat inițial, pretinde a fi o prezentare PowerPoint comprimată numită Meeting_Agenda.zip.

Pe 20 decembrie, Wardle a căutat acel fișier pe VirusTotal și a găsit o potrivire printre milioanele de eșantioane de software suspect încărcate pe site. Eșantionul VirusTotal avea un „hash” sau un rezumat matematic al codului său, prin care puteți identifica malware-ul.

Wardle a executat hash-ul prin colecția de motoare malware antivirus de la VirusTotal și a constatat că doar motoarele Kaspersky și ZoneAlarm l-au detectat. Restul l-au lăsat să treacă, adică nu știau despre asta.

Apoi a căutat hashuri similare și a găsit încă trei care s-au prezentat ca fișiere Word închise. Nici un motor antivirus nu le-a detectat. (Multe alte motoare antivirus le detectează astăzi, datorită postării pe blog a lui Wardle.)

Cu toate acestea, pe 20 decembrie, Apple a revocat deja semnătura digitală necesară pentru ca malware-ul să poată fi instalat pe Mac folosind setările implicite de securitate. Cu alte cuvinte, Apple părea să fi știut despre malware înainte de a face companiile antivirus, dar nu pare să fi spus companiilor antivirus.

Acest lucru s-ar putea să nu pară o mare problemă pentru utilizatorul mediu al computerului, dar este. Pentru ca producătorii de software și companiile antivirus să apere în mod corespunzător utilizatorii împotriva malware-ului, toată lumea trebuie să fie pe aceeași pagină. Este o practică standard de operare pentru toți cei implicați să împărtășească informații cât mai curând posibil - iar Wardle a sugerat că Apple nu se joacă corect.

Problema de detectare a malware-ului „evidențiază faptul că AV-ul tradițional se luptă cu malware-ul nou / APT pe macOS … dar și cu hubrisul Apple”, a spus Wardle lui Dan Goodin, de la Ars Technica. „I-am văzut făcând asta înainte :( Este descurajant și cineva trebuie să-i cheme pe el.”

Tom's Guide a contactat Apple pentru comentarii și vom actualiza această poveste când vom primi un răspuns.