Apple sta nascondendo alle aziende di antivirus informazioni cruciali sugli attacchi di malware? Un importante ricercatore di sicurezza pensa che potrebbe essere.
Patrick Wardle, sulle cui scoperte abbiamo scritto molte volte su Tom's Guide, il mese scorso ha analizzato un nuovo ceppo di malware per Mac chiamato Windshift. Ha notato che Apple aveva revocato il certificato digitale che consentiva l'installazione del malware sui Mac. Va bene.
Ma quando Wardle ha controllato VirusTotal, un archivio online di malware noto, solo due dei circa 60 motori di rilevamento di malware antivirus potrebbero individuare Windshift. Nessuno dei motori malware ha individuato altre tre varianti di Windshift.
Per Wardle, questo potrebbe significare solo una cosa: Apple ha trovato malware senza dirlo alle società di antivirus. È un male, perché chiunque fosse già infetto potrebbe non averlo mai scoperto. Nel mondo degli antivirus, dovresti condividere tali informazioni il prima possibile per mantenere l'immunità di gregge.
"Questo significa che Apple non condivide preziose informazioni su malware/minacce con la community AV, impedendo la creazione di firme AV diffuse in grado di proteggere gli utenti finali?!" ha chiesto Wardle nel suo post sul blog. "Sì."
Windshift sembra prendere di mira individui specifici in Medio Oriente come parte di una campagna di spionaggio sponsorizzata dallo stato. È stato rivelato per la prima volta dal ricercatore di DarkMatter Taha Karim alla conferenza Hack in the Box GSEC a Singapore lo scorso agosto.
Il malware infetta i Mac da siti Web dannosi in un processo a più fasi, l'ultimo passaggio del quale, come la maggior parte dei malware per Mac, comporta l'inganno dell'utente per consentire l'installazione del malware.
Per semplificare questo inganno, Windshift si presenta come vari documenti di Microsoft Office per Mac, completi di graziose icone di Office. La versione dettagliata da Karim, e che Wardle inizialmente ha guardato, finge di essere una presentazione PowerPoint compressa chiamata Meeting_Agenda.zip.
Il 20 dicembre, Wardle ha cercato quel file su VirusTotal e ha trovato una corrispondenza tra i milioni di campioni di software sospetto caricati sul sito. L'esempio di VirusTotal aveva un "hash" o un riepilogo matematico del suo codice, grazie al quale è possibile identificare il malware.
Wardle ha eseguito l'hash attraverso la raccolta di motori antivirus antivirus di VirusTotal e ha scoperto che solo i motori Kaspersky e ZoneAlarm lo rilevavano. Il resto lo lasciò andare, nel senso che non lo sapevano.
Ha quindi cercato hash simili e ne ha trovati altri tre che si presentavano come file di Word compressi. Nessun motore antivirus li ha rilevati. (Molti altri motori antivirus li rilevano oggi, grazie al post sul blog di Wardle.)
Eppure, il 20 dicembre, Apple aveva già revocato la firma digitale necessaria per l'installazione del malware sui Mac utilizzando le impostazioni di sicurezza predefinite. In altre parole, sembrava che Apple fosse a conoscenza del malware prima delle società di antivirus, ma non sembrava aver informato le società di antivirus.
Questo potrebbe non sembrare un grosso problema per l'utente medio di computer, ma lo è. Affinché i produttori di software e le società di antivirus possano difendere adeguatamente gli utenti dal malware, è necessario che tutti siano sulla stessa pagina. È prassi operativa standard per tutti i soggetti coinvolti condividere le informazioni il prima possibile e Wardle ha insinuato che Apple non stava giocando in modo leale.
Il problema del rilevamento del malware "evidenzia che l'AV tradizionale lotta con il malware nuovo/APT su macOS… ma anche l'arroganza di Apple", ha detto Wardle a Dan Goodin di Ars Technica. "Li abbiamo già visti fare questo prima :( È scoraggiante, e qualcuno ha bisogno di chiamarli fuori."
Tom's Guide ha contattato Apple per un commento e aggiorneremo questa storia quando riceveremo una risposta.
- Mac attaccati da hacker nordcoreani: cosa sapere
- L'app Mac più venduta ruba la cronologia di navigazione
- Perché gli iPhone Apple non hanno bisogno di software antivirus