Uchovává Apple před antivirovými firmami zásadní informace o útocích na malware? Jeden prominentní bezpečnostní výzkumník si myslí, že by to mohlo být.
Patrick Wardle, o jehož objevech jsme mnohokrát psali v Tom's Guide, minulý měsíc analyzoval nový kmen malwaru pro Mac s názvem Windshift. Všiml si, že Apple zrušil digitální certifikát, který umožnil instalaci malwaru na počítače Mac. To je dobré.
Když ale Wardle zkontroloval VirusTotal, online úložiště známého malwaru, Windshift si všimly pouze dva z asi 60 zvláštních antivirových modulů pro detekci malwaru. Žádný z malwarových motorů nezaznamenal tři další varianty Windshift.
Pro Wardleho to mohlo znamenat jen jednu věc: Apple našel malware, aniž by o tom řekl antivirovým společnostem. To je špatné, protože každý, kdo už byl nakažen, se to možná nikdy nedozvěděl. Ve světě antivirů byste měli tyto informace sdílet co nejdříve, abyste udrželi imunitu stáda.
„Znamená to, že Apple nesdílí cenný malware/informace o hrozbách s AV komunitou, což brání vytváření rozšířených AV podpisů, které mohou chránit koncové uživatele ?!“ Zeptal se Wardle ve svém příspěvku na blogu. "Ano."
Zdá se, že Windshift cílí na konkrétní jednotlivce na Blízkém východě v rámci státem sponzorované špionážní kampaně. Poprvé to odhalil výzkumník DarkMatter Taha Karim na konferenci Hack in the Box GSEC v Singapuru loni v srpnu.
Malware infikuje počítače Mac ze škodlivých webů ve vícestupňovém procesu, jehož poslední krok, jako většina malwaru pro počítače Mac, zahrnuje oklamání uživatele, aby nechal malware nainstalovat.
Aby byl tento podvod jednodušší, Windshift se prezentuje jako různé dokumenty Microsoft Office pro Mac, doplněné pěknými ikonami Office. Podrobná verze Karim, na kterou se Wardle původně podíval, předstírá, že je komprimovanou prezentací v PowerPointu s názvem Meeting_Agenda.zip.
20. prosince Wardle hledal tento soubor na VirusTotal a našel shodu mezi miliony vzorků podezřelého softwaru nahraného na web. Ukázka VirusTotal měla „hash“ neboli matematické shrnutí svého kódu, pomocí kterého můžete malware identifikovat.
Wardle provedl hash prostřednictvím kolekce antivirových malwarových nástrojů VirusTotal a zjistil, že jej detekovaly pouze motory Kaspersky a ZoneAlarm. Zbytek to nechal plynout, což znamená, že o tom nevěděli.
Poté hledal hash, které byly podobné, a našel další tři, které se prezentovaly jako zip soubory Word. Žádné antivirové motory je nezjistily. (Díky Wardleovu příspěvku na blog je dnes detekuje mnoho dalších antivirových motorů.)
Přesto 20. prosince společnost Apple již zrušila digitální podpis požadovaný pro instalaci malwaru na počítače Mac pomocí výchozího nastavení zabezpečení. Jinými slovy, zdálo se, že Apple o malwaru věděl dříve, než to udělaly antivirové společnosti, ale nezdálo se, že by to antivirovým společnostem sdělil.
Průměrnému uživateli počítače se to nemusí zdát jako velký problém, ale je to tak. Aby mohli výrobci softwaru a antivirové společnosti správně bránit uživatele před malwarem, musí být všichni na stejné stránce. Je to standardní operační postup pro všechny zúčastněné, aby sdíleli informace co nejdříve - a Wardle naznačil, že Apple nehrál fér.
Problém s detekcí malwaru „zdůrazňuje, že tradiční AV se potýká s novým/APT malwarem v macOS… ale také v aroganci Apple,“ řekl Wardle Dan Goodinovi z Ars Technica. „Už jsme je viděli, jak to dělají :( Je to skličující a někdo jim to musí zavolat.“
Tom's Guide oslovil společnost Apple k vyjádření a tento příběh aktualizujeme, jakmile obdržíme odpověď.
- Počítače Mac napadené severokorejskými hackery: Co vědět
- Nejprodávanější aplikace pro Mac ukradne vaši historii procházení
- Proč Apple iPhone nepotřebuje antivirový software