Apple запазва информация за зловреден софтуер от антивирусни фирми: изследовател

Съхранява ли Apple важна информация за атаките срещу зловреден софтуер от антивирусни фирми? Един виден изследовател по сигурността смята, че може да е така.

Патрик Уордл, за чиито открития сме писали много пъти в Томовото ръководство, миналия месец анализира нов вид зловреден софтуер за Mac, наречен Windshift. Той забеляза, че Apple е отменила цифровия сертификат, който позволява на злонамерения софтуер да се инсталира на Mac. Това е добре.

Но когато Уордъл провери VirusTotal, онлайн хранилище на известен зловреден софтуер, само два от около 60-те антивирусни двигателя за откриване на зловреден софтуер можеха да забележат Windshift. Нито един от двигателите на зловредния софтуер не забеляза три други варианта на Windshift.

За Wardle това може да означава само едно: Apple е открила зловреден софтуер, без да съобщи на антивирусните компании за това. Това е лошо, защото всеки, който вече е бил заразен, може би никога няма да разбере. В света на антивирусите трябва да споделяте такава информация възможно най -скоро, за да поддържате имунитета на стадото.

„Това означава ли, че Apple не споделя ценен зловреден софтуер/информация за заплахите с AV-общността, предотвратявайки създаването на широко разпространени AV подписи, които могат да защитят крайните потребители ?!“ - попита Уордъл в публикацията си в блога. - Да.

Изглежда, че Windshift е насочен към конкретни хора в Близкия изток като част от шпионска кампания, спонсорирана от държавата. За първи път беше разкрита от изследователката на DarkMatter Таха Карим на конференцията Hack in the Box GSEC в Сингапур миналия август.

Зловредният софтуер заразява Mac от злонамерени уебсайтове в многоетапен процес, последната стъпка на който, подобно на повечето злонамерен софтуер за Mac, включва заблуда на потребителя, за да позволи на зловредния софтуер да се инсталира.

За да улесни тази измама, Windshift се представя като различни документи на Microsoft Office за Mac, пълни с красиви икони на Office. Детайлната версия на Karim, която Wardle първоначално разгледа, се представя за компресирана презентация на PowerPoint, наречена Meeting_Agenda.zip.

На 20 декември Wardle потърси този файл във VirusTotal и намери съвпадение сред милионите проби от подозрителен софтуер, качени на сайта. Примерът VirusTotal имаше „хеш“ или математическо обобщение на кода, чрез което можете да идентифицирате зловредния софтуер.

Wardle провери хеша чрез колекцията на антивирусен зловреден софтуер на VirusTotal и установи, че само двигателите на Kaspersky и ZoneAlarm го откриват. Останалите го оставиха, което означава, че не са знаели за това.

След това той потърси подобни хешове и намери още три, които се представиха като файлове на Word с цип. Нито един антивирусен двигател не ги откри. (Много повече антивирусни двигатели ги откриват днес, благодарение на публикацията в блога на Wardle.)

И все пак на 20 декември Apple вече е отменила цифровия подпис, необходим за инсталирането на зловреден софтуер на Mac, използвайки настройките за сигурност по подразбиране. С други думи, Apple изглежда е знаела за зловредния софтуер преди антивирусните компании, но изглежда не е казала на антивирусните компании.

Това може да не изглежда голяма работа за обикновения потребител на компютър, но е така. За да могат производителите на софтуер и антивирусни компании да защитават правилно потребителите срещу злонамерен софтуер, всички трябва да са на една и съща страница. Това е стандартна оперативна практика за всички участници да споделят информация възможно най -скоро - и Wardle намекна, че Apple не играе честно.

Проблемът с откриването на зловреден софтуер "подчертава, че традиционните AV се борят с новия/APT зловреден софтуер на macOS … но също така и с високомерието на Apple", каза Уордъл пред Дан Гудин от Ars Technica. "Виждали сме ги да правят това и преди :( Това е обезсърчаващо и някой трябва да ги извика."

Tom's Guide се обърна към Apple за коментар и ние ще актуализираме тази история, когато получим отговор.