Saltar al contenido

Apple guarda información de malware de empresas de antivirus: investigador

2 enero, 2019

Ofertas ✅ 🔥¡Últimas unidades!🔥

RebajasBestseller No. 1
HP 255 G6 - Ordenador portátil 15.6" HD (AMD E2-9000, 4GB RAM, 500GB HDD, Windows 10), negro - Teclado QWERTY Español
  • Pantalla de 15.6 pulgadas HD, 1366x768 pixels
  • Procesador AMD E2-9000
  • Memoria RAM de 4 GB DDR4
  • Disco duro sólido HDD de 500 GB Sata
  • Sistema Operativo Windows 10 Home
RebajasBestseller No. 2
Lenovo Ideapad 330-15IGM - Ordenador Portátil 15.6" HD (Intel Celeron N4000, 4GB de RAM, 500GB de HDD, Intel UHD Graphics 600, sin Sistema operativo) Gris. Teclado QWERTY español
  • Pantalla de 15.6" HD, 1366 x 768 pixeles
  • Procesador Intel Celeron N4000, Dualcore 1.1GHz hasta 2.6GHz
  • Memoria RAM de 4GB DDR4, 2400Mhz
  • Almacenamiento HDD de 500GB, 5400RPM, SATA3
  • Tarjeta gráfica Intel UHD Graphics 600
Bestseller No. 3
HP Notebook 15-da0084ns - Ordenador Portátil 15.6" HD (Intel Celeron N4000, 4GB RAM, 128GB SSD, Intel Graphics, Windows 10) Color Negro - Teclado QWERTY Español
  • Pantalla de 15.6 pulgadas HD, 1366 x 768 pixels
  • Procesador Intel Celeron N4000 (2 núcleos, 4 MB Cache, 1.1 GHz hasta 2.6 GHz)
  • Memoria SDRAM de 4 GB DDR4-2400
  • Disco SSD M.2 de 128 GB
  • Tarjeta gráfica integrada Intel UHD Graphics 600
RebajasBestseller No. 4
HP Notebook 15-db0045ns - Ordenador Portátil 15.6" HD (AMD Ryzen 5 2500U, 12GB RAM, 256GB SSD, AMD Radeon, Windows 10) Color Blanco - Teclado QWERTY Español
  • Pantalla de 15.6" HD, 1366 x 768 pixeles
  • Procesador AMD Ryzen 5 2500U, (frecuencia base de 2 GHz, hasta 3.6 GHz, 6 MB de caché, 4 núcleos)
  • Memoria RAM de 12 GB, DDR4 (2666 MHz)
  • Disco duro SSD M.2 de 256 GB
  • Tarjeta gráfica integrada: AMD Radeon Vega 8;
RebajasBestseller No. 5
Lenovo Ideapad 330-15IKB - Ordenador Portátil 15.6" FullHD (Intel Core i3-8130U, 4GB de RAM + 16GB de Intel Optane, 1TB de HDD, Windows 10 Home) Plateado - Teclado QWERTY español
  • Pantalla de 15.6" Full HD, 1920x1080 pixeles
  • Procesador Intel Core i3-8130U Kaby Lake Refresh, 2.2 GHz hasta 3.4 GHz
  • Memoria RAM de 4 GB DDR4, 2133MHz + 16GB de Memoria Intel Optane
  • Disco duro HDD de 1TB, 5400RPM, SATA 3
  • Tarjeta gráfica integrada Intel UHD Graphics 620

¿Apple mantiene información crucial sobre los ataques de malware ocultos a las firmas antivirus? Un destacado investigador de seguridad cree que podría ser.

imagen

Patrick Wardle , sobre cuyos descubrimientos hemos escrito muchas veces en la Guía de Tom, el mes pasado analizó una nueva variedad de malware para Mac llamada Windshift. Notó que Apple había revocado el certificado digital que permitía que el malware se instalara en Macs. Eso es bueno.

Pero cuando Wardle verificó VirusTotal , un repositorio en línea de malware conocido, solo dos de los más de 60 motores de detección de malware antivirus podrían detectar Windshift. Ninguno de los motores de malware detectó otras tres variantes de Windshift.

Para Wardle, esto solo podía significar una cosa: Apple encontró malware sin avisar a las compañías de antivirus. Eso es malo, porque alguien que ya estaba infectado nunca se habría enterado. En el mundo de los antivirus, se supone que debe compartir dicha información lo antes posible para mantener la inmunidad de grupo.

“¿Significa esto que Apple no está compartiendo valiosos programas maliciosos / amenazas de inteligencia con la comunidad de AV, evitando la creación de firmas de AV generalizadas que puedan proteger a los usuarios finales?” Wardle preguntó en su blog de publicación. “Sí.”

MÁS: El mejor software antivirus para Mac

Windshift parece apuntar a individuos específicos en el Medio Oriente como parte de una campaña de espionaje patrocinada por el estado. Fue revelado por primera vez por la investigadora de DarkMatter Taha Karim en la conferencia Hack in the Box GSEC en Singapur en agosto pasado.

El malware infecta a las Mac de sitios web maliciosos en un proceso de múltiples etapas, el último paso de los cuales, como la mayoría de los malware de Mac, consiste en engañar al usuario para que permita que se instale el malware.

Para hacer ese engaño más fácil, Windshift se presenta como varios documentos de Microsoft Office para Mac, completos con bonitos iconos de Office. La versión detallada de Karim, y que Wardle miró inicialmente, pretende ser una presentación de PowerPoint comprimida llamada Meeting_Agenda.zip.

El 20 de diciembre, Wardle buscó ese archivo en VirusTotal y encontró una coincidencia entre las millones de muestras de software sospechoso subidas al sitio. La muestra de VirusTotal tenía un “hash” o un resumen matemático de su código, mediante el cual puede identificar el malware.

Wardle ejecutó el hash a través de la colección de antivirus antivirus de VirusTotal y descubrió que solo los motores Kaspersky y ZoneAlarm lo detectaron. El resto lo dejó pasar, lo que significa que no lo sabían.

Luego buscó hashes que eran similares y encontró tres más que se presentaron como archivos de Word comprimidos. Ningún motor antivirus los detectó. (Muchos más motores antivirus los detectan hoy, gracias a la publicación del blog de Wardle).

Sin embargo, el 20 de diciembre, Apple ya había revocado la firma digital requerida para que el malware se instalara en Mac utilizando la configuración de seguridad predeterminada. En otras palabras, Apple parecía haber sabido sobre el malware antes de que lo hicieran las compañías antivirus, pero no parecía haberle dicho a las compañías antivirus.

Esto puede no parecer un gran problema para el usuario promedio de computadoras, pero lo es. Para que los fabricantes de software y las compañías antivirus puedan defender adecuadamente a los usuarios contra el malware, todos deben estar en la misma página. Es una práctica operativa estándar para todos los involucrados compartir información lo antes posible, y Wardle dio a entender que Apple no estaba jugando limpio.

El problema de detección de malware “resalta que los AV tradicionales luchan contra el malware nuevo / APT en macOS … pero también por la arrogancia de Apple”, dijo Wardle a Dan Goodin de Ars Technica . “Los hemos visto hacer esto antes 🙁 Es descorazonador, y alguien tiene que llamarlo”.

La Guía de Tom se ha acercado a Apple para comentar y actualizaremos esta historia cuando recibamos una respuesta.