¿Apple mantiene oculta a las firmas antivirus información crucial sobre los ataques de malware? Un destacado investigador de seguridad cree que podría serlo.
Patrick Wardle, sobre cuyos descubrimientos hemos escrito muchas veces en Tom's Guide, analizó el mes pasado una nueva cepa de malware para Mac llamada Windshift. Se dio cuenta de que Apple había revocado el certificado digital que permitía que el malware se instalara en Mac. Eso es bueno.
Pero cuando Wardle verificó VirusTotal, un depósito en línea de malware conocido, solo dos de los 60 motores antivirus de detección de malware pudieron detectar Windshift. Ninguno de los motores de malware detectó otras tres variantes de Windshift.
Para Wardle, esto solo podía significar una cosa: Apple encontró malware sin informar a las compañías antivirus al respecto. Eso es malo, porque es posible que cualquiera que ya estuviera infectado nunca se haya enterado. En el mundo de los antivirus, se supone que debe compartir dicha información lo antes posible para mantener la inmunidad colectiva.
"¿Significa esto que Apple no está compartiendo información valiosa sobre malware / amenazas con la comunidad AV, evitando la creación de firmas AV generalizadas que pueden proteger a los usuarios finales?" Wardle preguntó en su publicación de blog. "Sí."
Windshift parece apuntar a individuos específicos en el Medio Oriente como parte de una campaña de espionaje patrocinada por el estado. Fue revelado por primera vez por el investigador de DarkMatter Taha Karim en la conferencia Hack in the Box GSEC en Singapur en agosto pasado.
El malware infecta Macs desde sitios web maliciosos en un proceso de varias etapas, el último paso del cual, como la mayoría de los programas maliciosos de Mac, implica engañar al usuario para que deje que se instale el malware.
Para facilitar ese engaño, Windshift se presenta como varios documentos de Microsoft Office para Mac, con bonitos iconos de Office. La versión que Karim detalló, y que Wardle miró inicialmente, pretende ser una presentación de PowerPoint comprimida llamada Meeting_Agenda.zip.
El 20 de diciembre, Wardle buscó ese archivo en VirusTotal y encontró una coincidencia entre los millones de muestras de software sospechoso subidas al sitio. La muestra de VirusTotal tenía un "hash" o resumen matemático de su código, mediante el cual puede identificar el malware.
Wardle ejecutó el hash a través de la colección de motores de malware antivirus de VirusTotal y descubrió que solo los motores Kaspersky y ZoneAlarm lo detectaban. El resto lo dejó pasar, lo que significa que no lo sabían.
Luego buscó hashes que fueran similares y encontró tres más que se presentaban como archivos de Word comprimidos. Ningún motor antivirus los detectó. (Muchos más motores antivirus los detectan hoy, gracias a la publicación del blog de Wardle).
Sin embargo, el 20 de diciembre, Apple ya había revocado la firma digital requerida para que el malware se instale en Mac utilizando la configuración de seguridad predeterminada. En otras palabras, Apple parecía haber sabido sobre el malware antes que las compañías antivirus, pero no parecía haberlo dicho a las compañías antivirus.
Esto puede no parecer un gran problema para el usuario promedio de computadoras, pero lo es. Para que los fabricantes de software y las compañías antivirus puedan defender adecuadamente a los usuarios contra el malware, todos deben estar en sintonía. Es una práctica operativa estándar para todos los involucrados compartir información lo antes posible, y Wardle insinuó que Apple no estaba jugando limpio.
El problema de detección de malware "destaca que el antivirus tradicional tiene problemas con el malware nuevo / APT en macOS … pero también la arrogancia de Apple", dijo Wardle a Dan Goodin de Ars Technica. "Los hemos visto hacer esto antes :( Es descorazonador, y alguien necesita llamarlos".
Tom's Guide se ha puesto en contacto con Apple para hacer comentarios y actualizaremos esta historia cuando recibamos una respuesta.
- Macs atacados por piratas informáticos norcoreanos: lo que debe saber
- La aplicación para Mac más vendida se roba su historial de navegación
- Por qué los iPhones de Apple no necesitan software antivirus