Чи зберігає Apple важливу інформацію про атаки шкідливих програм від антивірусних компаній? Один видатний дослідник безпеки вважає, що це може бути.
Патрік Уордл, про відкриття якого ми неодноразово писали у «Посібнику Тома», минулого місяця проаналізував новий штрих шкідливих програм Mac під назвою Windshift. Він помітив, що Apple відкликала цифровий сертифікат, який дозволяв встановлювати шкідливе програмне забезпечення на Mac. Добре.
Але коли Уордл перевірив VirusTotal, онлайн-сховище відомого шкідливого програмного забезпечення, лише два з приблизно 60 механізмів виявлення антивірусних шкідливих програм могли виявити Windshift. Жоден з двигунів шкідливого програмного забезпечення не помітив три інші варіанти Windshift.
Для Уордла це може означати лише одне: Apple виявила шкідливе програмне забезпечення, не повідомивши про це антивірусним компаніям. Це погано, тому що кожен, хто вже був заражений, можливо, ніколи б цього не дізнався. У світі антивірусів ви повинні якомога швидше поділитися такою інформацією для підтримки імунітету стада.
"Чи означає це, що Apple не ділиться цінними шкідливими програмами/інформацією про загрози з AV-спільнотою, запобігаючи створенню поширених підписів AV, які можуть захистити кінцевих користувачів ?!" - запитав Уордл у своєму блозі. "Так."
Схоже, що Windshift націлений на конкретних осіб на Близькому Сході в рамках шпигунської кампанії, що фінансується державою. Вперше це було розкрито дослідницею DarkMatter Тахою Карім на конференції Hack in the Box GSEC у Сінгапурі минулого серпня.
Зловмисне програмне забезпечення заражає Mac з шкідливих веб -сайтів у багатоетапному процесі, останній крок якого, як і більшість шкідливих програм Mac, включає введення користувачів в оману, дозволяючи встановити шкідливе програмне забезпечення.
Щоб полегшити цей обман, Windshift представляє себе як різні документи Microsoft Office для Mac, укомплектовані гарними значками Office. Детальна версія Каріма, на яку спочатку дивився Уордл, видає себе за стиснуту презентацію PowerPoint під назвою Meeting_Agenda.zip.
20 грудня Уордл шукав цей файл на VirusTotal і виявив збіг між мільйонами зразків підозрілого програмного забезпечення, завантажених на сайт. Зразок VirusTotal мав "хеш" або математичний опис коду, за яким можна ідентифікувати шкідливе програмне забезпечення.
Wardle провів хеш через колекцію антивірусних шкідливих програм VirusTotal і виявив, що це виявили лише двигуни Kaspersky та ZoneAlarm. Решта відпустила це, тобто вони про це не знали.
Потім він пошукав схожі хеші та знайшов ще три, які представили себе як файли Word із застібкою. Жодні антивірусні двигуни їх не виявили. (Сьогодні значно більше антивірусних механізмів виявляють їх завдяки публікаціям у блозі Wardle.)
Однак 20 грудня Apple вже скасувала цифровий підпис, необхідний для встановлення шкідливого програмного забезпечення на комп’ютерах Mac із використанням налаштувань безпеки за замовчуванням. Іншими словами, Apple, здається, знала про шкідливе програмне забезпечення до того, як це зробили антивірусні компанії, але, схоже, не повідомила антивірусним компаніям.
Для звичайного користувача комп’ютера це може здатися не великою справою, але це так. Щоб виробники програмного забезпечення та антивірусні компанії належним чином захищали користувачів від шкідливого програмного забезпечення, всі повинні бути на одній сторінці. Це стандартна практика для всіх учасників якнайшвидшого обміну інформацією - і Уордл припустив, що Apple грає не чесно.
Проблема виявлення зловмисного програмного забезпечення "підкреслює, що традиційні AV-системи борються з новими/шкідливими програмами APT на macOS … але також і з нахабством Apple",-сказав Уордл Ден Гудіну з Ars Technica. "Ми вже бачили, як вони це робили :( Це невтішно, і хтось повинен закликати їх до цього".
Посібник Тома звернувся до Apple за коментарем, і ми оновимо цю історію, коли отримаємо відповідь.
- Mac, атаковані північнокорейськими хакерами: що потрібно знати
- Найпопулярніший додаток для Mac краде вашу історію перегляду
- Чому айфонам Apple не потрібне антивірусне програмне забезпечення