A Apple está mantendo informações cruciais sobre ataques de malware ocultas de empresas de antivírus? Um pesquisador de segurança proeminente acha que pode ser.
Patrick Wardle, sobre cujas descobertas escrevemos muitas vezes no Tom's Guide, no mês passado analisou uma nova cepa de malware para Mac chamada Windshift. Ele percebeu que a Apple revogou o certificado digital que permitia a instalação do malware nos Macs. Isso é bom.
Mas quando Wardle verificou o VirusTotal, um repositório online de malware conhecido, apenas dois dos cerca de 60 mecanismos antivírus de detecção de malware conseguiram detectar o Windshift. Nenhum dos mecanismos de malware detectou três outras variantes do Windshift.
Para Wardle, isso só poderia significar uma coisa: a Apple encontrou malware sem avisar as empresas de antivírus sobre isso. Isso é ruim, porque qualquer pessoa que já foi infectada pode nunca ter descoberto. No mundo dos antivírus, você deve compartilhar essas informações o mais rápido possível para manter a imunidade coletiva.
"Isso significa que a Apple não está compartilhando informações de malware / ameaças valiosas com a comunidade AV, evitando a criação de assinaturas AV generalizadas que podem proteger os usuários finais ?!" Wardle perguntou em sua postagem no blog. "Sim."
Windshift parece ter como alvo indivíduos específicos no Oriente Médio como parte de uma campanha de espionagem patrocinada pelo estado. Ele foi divulgado pela primeira vez pelo pesquisador do DarkMatter Taha Karim na conferência Hack in the Box GSEC em Cingapura em agosto passado.
O malware infecta Macs de sites maliciosos em um processo de vários estágios, a última etapa do qual, como a maioria dos malwares para Mac, envolve enganar o usuário para permitir que o malware seja instalado.
Para tornar esse engano mais fácil, o Windshift se apresenta como vários documentos do Microsoft Office para Mac, completos com belos ícones do Office. A versão que Karim detalhou, e que Wardle olhou inicialmente, finge ser uma apresentação compactada em PowerPoint chamada Meeting_Agenda.zip.
Em 20 de dezembro, Wardle procurou por esse arquivo no VirusTotal e encontrou uma correspondência entre os milhões de amostras de software suspeito carregadas no site. A amostra do VirusTotal tinha um "hash", ou resumo matemático de seu código, pelo qual você pode identificar o malware.
Wardle executou o hash na coleção de mecanismos de malware antivírus do VirusTotal e descobriu que apenas os mecanismos Kaspersky e ZoneAlarm o detectaram. O resto deixou passar, o que significa que eles não sabiam sobre isso.
Ele então procurou por hashes semelhantes e encontrou mais três que se apresentavam como arquivos do Word compactados. Nenhum mecanismo antivírus detectou isso. (Muitos outros mecanismos antivírus os detectam hoje, graças à postagem do blog de Wardle.)
Ainda em 20 de dezembro, a Apple já havia revogado a assinatura digital necessária para o malware ser instalado em Macs usando configurações de segurança padrão. Em outras palavras, a Apple parecia saber sobre o malware antes das empresas de antivírus, mas não parecia ter informado as empresas de antivírus.
Isso pode não parecer grande coisa para o usuário médio de computador, mas é. Para que os fabricantes de software e empresas de antivírus defendam adequadamente os usuários contra malware, todos precisam estar na mesma página. É prática operacional padrão para todos os envolvidos compartilhar informações o mais rápido possível - e Wardle deu a entender que a Apple não estava jogando limpo.
O problema de detecção de malware "destaca que o AV tradicional luta com malware novo / APT no macOS … mas também com a arrogância da Apple", disse Wardle a Dan Goodin da Ars Technica. "Já vimos eles fazerem isso antes :( É desanimador, e alguém precisa alertá-los sobre isso."
O Guia do Tom entrou em contato com a Apple para comentar e atualizaremos esta história quando recebermos uma resposta.
- Macs atacados por hackers norte-coreanos: o que saber
- O aplicativo para Mac mais vendido rouba seu histórico de navegação
- Por que os iPhones da Apple não precisam de software antivírus
