NEWSSecuritateTECH

Apple se pare că nu partajează definițiile de viruși cu furnizorii de soluții AV

La patru luni după ce un grup misterios a fost creditat pentru o operațiune de spionaj digital care folosea tehnici noi pentru a viza utilizatorii de Mac, probele malware pentru sistemul de operare MacOS dezvoltat de Apple au continuat să fie nedetectate de majoritatea furnizorilor de servicii antivirus, a informat săptămâna aceasta un cercetător de securitate.

Windshift este ceea ce cercetătorii numesc pe scurt un APT (advanced persistent threat – amenințare persistentă avansată), care supraveghează persoane din Orientul Mijlociu. Grupul a funcționat în umbre timp de doi ani până în august, când Taha Karim, cercetător la firma de securitate DarkMatter, l-a dezvăluit la conferința Hack in the Box din Singapore. Diapozitive, o scurtă descriere și un raport de la Forbes sunt disponibile aici, aici și aici, respectiv.

Câteva lucruri fac ca Windshift să se evidențieze printre APT-uri, a raportat Karim în august. Una este cât de rar grupul își infectează țintele cu malware. În schimb, se bazează pe linkuri din interiorul email-urilor de phishing și mesaje text SMS pentru a urmări locațiile, obiceiurile online și alte caracteristici ale țintelor sale. O altă caracteristică neobișnuită: în cazurile extrem de rare în care Windshift utilizează malware Mac pentru a fura documente sau pentru a captura imagini de pe desktop-urile țintă, acesta se bazează pe o tehnică nouă pentru a ocoli apărarea MacOS. (Pentru cei interesați, articolul din Forbes menționat mai sus are mai multe informații despre modul în care această tehnică permite site-urilor controlate de atacatori să instaleze automat malware-ul pe Mac-urile vizate.)

Joi, expertul în securitate Mac, Patrick Wardle, a publicat o analiză a Meeting_Agenda.zip, un fișier despre care Karim a spus că instalează malware-ul pentru Mac. Spre surprinderea lui Wardle, rezultatele obținute de VirusTotal la acel moment au arătat că doar doi furnizori antivirus – Kaspersky și ZoneAlarm – au detectat fișierul ca malware. Wardle a folosit apoi o caracteristică prin care a căutat pe VirusTotal după fișierele malware asociate și a găsit încă patru. Trei dintre acestea nu au fost detectate de niciun furnizor AV, în timp ce unul a fost detectat de numai doi furnizori.

Motivul pentru care rezultatele au fost atât de surprinzătoare este că Apple a revocat deja certificatul criptografic pe care dezvoltatorii l-au folosit pentru a semna digital malware-ul lor. Asta înseamnă că Apple știa de malware. Wardle a scris:

Faptul că certificatele tuturor eșantioanelor sunt revocate (CSSMERR_TP_CERT_REVOKED) înseamnă că Apple cunoaște acest certificat… și, astfel, cu siguranță și acest malware… dar majoritatea probelor (3 din 4) sunt detectate de zero motoare anti-virus pe VirusTotal.

Înseamnă acest lucru că Apple nu împărtășește cu comunitatea AV informații valoroase despre programe de tip malware, împiedicând crearea unor semnături AV răspândite care să protejeze utilizatorii finali ?! 🤔

Naratorul: da

Sinceri să fim, serverele de control pe care le contactează malware-ul nu mai sunt disponibile pe Internet. Asta înseamnă că orice calculator infectat nu este în pericolul de a fi supravegheat. De asemenea, dacă e să fim corecți, numărul de detectări a crescut încet din ziua în care Wardle și-a publicat analiza.

Cu toate acestea, lipsa detectării în timp util este îngrijorătoare, deoarece sugerează că Apple nu oferă definițiile de malware cunoscut furnizorilor AV. O astfel de partajare este o practică standard în industrie și este deosebit de importantă în urmărirea APT-urilor, care, prin definiție, reușesc foarte bine să-și ascundă produsele de apărători. Acest eșec ar putea împiedica țintele să știe că au fost infectate și să ia măsurile necesare pentru a se proteja.

Sursa

Tags

Mihai Ginghină

Redactor Știri

Related Articles

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Back to top button
Close