Apple guarda información de malware de empresas de antivirus: investigador

¿Apple mantiene información crucial sobre los ataques de malware ocultos a las firmas antivirus? Un destacado investigador de seguridad cree que podría ser.

imagen

Patrick Wardle , sobre cuyos descubrimientos hemos escrito muchas veces en la Guía de Tom, el mes pasado analizó una nueva variedad de malware para Mac llamada Windshift. Notó que Apple había revocado el certificado digital que permitía que el malware se instalara en Macs. Eso es bueno.

Pero cuando Wardle verificó VirusTotal , un repositorio en línea de malware conocido, solo dos de los más de 60 motores de detección de malware antivirus podrían detectar Windshift. Ninguno de los motores de malware detectó otras tres variantes de Windshift.

Para Wardle, esto solo podía significar una cosa: Apple encontró malware sin avisar a las compañías de antivirus. Eso es malo, porque alguien que ya estaba infectado nunca se habría enterado. En el mundo de los antivirus, se supone que debe compartir dicha información lo antes posible para mantener la inmunidad de grupo.

“¿Significa esto que Apple no está compartiendo valiosos programas maliciosos / amenazas de inteligencia con la comunidad de AV, evitando la creación de firmas de AV generalizadas que puedan proteger a los usuarios finales?” Wardle preguntó en su blog de publicación. “Sí.”

MÁS: El mejor software antivirus para Mac

Windshift parece apuntar a individuos específicos en el Medio Oriente como parte de una campaña de espionaje patrocinada por el estado. Fue revelado por primera vez por la investigadora de DarkMatter Taha Karim en la conferencia Hack in the Box GSEC en Singapur en agosto pasado.

El malware infecta a las Mac de sitios web maliciosos en un proceso de múltiples etapas, el último paso de los cuales, como la mayoría de los malware de Mac, consiste en engañar al usuario para que permita que se instale el malware.

Para hacer ese engaño más fácil, Windshift se presenta como varios documentos de Microsoft Office para Mac, completos con bonitos iconos de Office. La versión detallada de Karim, y que Wardle miró inicialmente, pretende ser una presentación de PowerPoint comprimida llamada Meeting_Agenda.zip.

El 20 de diciembre, Wardle buscó ese archivo en VirusTotal y encontró una coincidencia entre las millones de muestras de software sospechoso subidas al sitio. La muestra de VirusTotal tenía un “hash” o un resumen matemático de su código, mediante el cual puede identificar el malware.

Wardle ejecutó el hash a través de la colección de antivirus antivirus de VirusTotal y descubrió que solo los motores Kaspersky y ZoneAlarm lo detectaron. El resto lo dejó pasar, lo que significa que no lo sabían.

Luego buscó hashes que eran similares y encontró tres más que se presentaron como archivos de Word comprimidos. Ningún motor antivirus los detectó. (Muchos más motores antivirus los detectan hoy, gracias a la publicación del blog de Wardle).

Sin embargo, el 20 de diciembre, Apple ya había revocado la firma digital requerida para que el malware se instalara en Mac utilizando la configuración de seguridad predeterminada. En otras palabras, Apple parecía haber sabido sobre el malware antes de que lo hicieran las compañías antivirus, pero no parecía haberle dicho a las compañías antivirus.

Esto puede no parecer un gran problema para el usuario promedio de computadoras, pero lo es. Para que los fabricantes de software y las compañías antivirus puedan defender adecuadamente a los usuarios contra el malware, todos deben estar en la misma página. Es una práctica operativa estándar para todos los involucrados compartir información lo antes posible, y Wardle dio a entender que Apple no estaba jugando limpio.

El problema de detección de malware “resalta que los AV tradicionales luchan contra el malware nuevo / APT en macOS … pero también por la arrogancia de Apple”, dijo Wardle a Dan Goodin de Ars Technica . “Los hemos visto hacer esto antes 🙁 Es descorazonador, y alguien tiene que llamarlo”.

La Guía de Tom se ha acercado a Apple para comentar y actualizaremos esta historia cuando recibamos una respuesta.