Скрывает ли Apple важную информацию об атаках вредоносных программ от антивирусных компаний? Один видный исследователь безопасности считает, что это возможно.
Патрик Уордл, о открытиях которого мы много раз писали в Tom's Guide, в прошлом месяце проанализировал новую разновидность вредоносного ПО для Mac под названием Windshift. Он заметил, что Apple отозвала цифровой сертификат, позволяющий устанавливать вредоносное ПО на Mac. Это хорошо.
Но когда Уордл проверил VirusTotal, онлайн-хранилище известных вредоносных программ, только два из примерно 60 антивирусных механизмов обнаружения вредоносных программ смогли обнаружить Windshift. Ни одна из вредоносных программ не обнаружила три других варианта Windshift.
Для Уордла это могло означать только одно: Apple обнаружила вредоносное ПО, не сообщая об этом антивирусным компаниям. Это плохо, потому что любой, кто уже был инфицирован, мог никогда не узнать. В мире антивирусов вы должны делиться такой информацией как можно скорее, чтобы поддерживать коллективный иммунитет.
«Означает ли это, что Apple не делится ценной информацией о вредоносных программах и угрозах с AV-сообществом, предотвращая создание широко распространенных сигнатур AV, которые могут защитить конечных пользователей ?!» - спросил Уордл в своем блоге. "Да."
Windshift, похоже, нацелен на конкретных лиц на Ближнем Востоке в рамках спонсируемой государством шпионской кампании. Впервые это было раскрыто исследователем DarkMatter Тахой Карим на конференции Hack in the Box GSEC в Сингапуре в августе прошлого года.
Вредоносная программа заражает компьютеры Mac с вредоносных веб-сайтов в многоэтапном процессе, последний этап которого, как и большинство вредоносных программ для Mac, заключается в том, чтобы обманом заставить пользователя разрешить установку вредоносного ПО.
Чтобы упростить этот обман, Windshift представляет собой различные документы Microsoft Office для Mac с красивыми значками Office. Версия, которую подробно описал Карим и которую первоначально рассматривал Уордл, представляет собой сжатую презентацию PowerPoint под названием Meeting_Agenda.zip.
20 декабря Уордл поискал этот файл на VirusTotal и нашел совпадение среди миллионов образцов подозрительного программного обеспечения, загруженных на сайт. Образец VirusTotal имел «хэш» или математическую сводку своего кода, по которому вы можете идентифицировать вредоносное ПО.
Уордл прогнал хэш через набор антивирусных ядер VirusTotal и обнаружил, что его обнаруживают только движки Kaspersky и ZoneAlarm. Остальные не обращали на это внимания, имея в виду, что они не знали об этом.
Затем он поискал похожие хэши и нашел еще три, которые представлялись в виде заархивированных файлов Word. Никакие антивирусные движки их не обнаружили. (Сегодня их обнаруживает гораздо больше антивирусных движков, благодаря публикации в блоге Уордла.)
Однако 20 декабря Apple уже отозвала цифровую подпись, необходимую для установки вредоносного ПО на Mac, используя настройки безопасности по умолчанию. Другими словами, Apple, похоже, знала о вредоносном ПО раньше, чем это сделали антивирусные компании, но, похоже, не сообщила антивирусным компаниям.
Обычному пользователю компьютера это может показаться неважным, но это так. Чтобы производители программного обеспечения и антивирусные компании могли должным образом защищать пользователей от вредоносных программ, все должны быть на одной странице. Это стандартная операционная практика для всех участников - как можно скорее поделиться информацией - и Уордл намекнул, что Apple играет нечестно.
Проблема обнаружения вредоносных программ «подчеркивает, что традиционные антивирусные программы борются с новыми вредоносными программами / APT на macOS… но также и с высокомерием Apple», - сказал Уордл Дэну Гудину из Ars Technica. «Мы видели, как они делали это раньше :( Это огорчает, и кому-то нужно их об этом сказать».
Tom's Guide обратился в Apple за комментариями, и мы обновим эту историю, когда получим ответ.
- Маки атакованы северокорейскими хакерами: что нужно знать
- Самое продаваемое приложение для Mac крадет вашу историю просмотров
- Почему Apple iPhone не нуждаются в антивирусном ПО