Houdt Apple cruciale informatie over malware-aanvallen verborgen voor antivirusbedrijven? Een prominente beveiligingsonderzoeker denkt van wel.
Patrick Wardle, over wiens ontdekkingen we vele malen in Tom's Guide hebben geschreven, analyseerde vorige maand een nieuwe variant van Mac-malware genaamd Windshift. Hij merkte op dat Apple het digitale certificaat had ingetrokken waarmee de malware op Macs kon worden geïnstalleerd. Dat is goed.
Maar toen Wardle VirusTotal controleerde, een online opslagplaats van bekende malware, konden slechts twee van de ongeveer 60 antivirus-malwaredetectie-engines Windshift detecteren. Geen van de malware-engines zag drie andere Windshift-varianten.
Voor Wardle kon dit maar één ding betekenen: Apple vond malware zonder antivirusbedrijven hierover te informeren. Dat is erg, want wie al besmet was, was er misschien nooit achter gekomen. In de antiviruswereld moet je dergelijke informatie zo snel mogelijk delen om de kudde-immuniteit te behouden.
"Betekent dit dat Apple geen waardevolle malware/threat-intel deelt met de AV-gemeenschap, waardoor er geen wijdverbreide AV-handtekeningen kunnen worden gemaakt die eindgebruikers kunnen beschermen?!" vroeg Wardle in zijn blogpost. "Ja."
Windshift lijkt zich te richten op specifieke individuen in het Midden-Oosten als onderdeel van een door de staat gesponsorde spionagecampagne. Het werd voor het eerst onthuld door DarkMatter-onderzoeker Taha Karim tijdens de Hack in the Box GSEC-conferentie in Singapore afgelopen augustus.
De malware infecteert Macs vanaf kwaadaardige websites in een proces dat uit meerdere fasen bestaat, waarbij de laatste stap, zoals bij de meeste Mac-malware, erin bestaat de gebruiker voor de gek te houden om de malware te laten installeren.
Om dat bedrog gemakkelijker te maken, presenteert Windshift zichzelf als verschillende Microsoft Office voor Mac-documenten, compleet met mooie Office-pictogrammen. De versie die Karim gedetailleerd heeft, en waar Wardle aanvankelijk naar keek, doet zich voor als een gecomprimeerde PowerPoint-presentatie genaamd Meeting_Agenda.zip.
Op 20 december zocht Wardle naar dat bestand op VirusTotal en vond een overeenkomst tussen de miljoenen voorbeelden van verdachte software die naar de site waren geüpload. Het VirusTotal-voorbeeld had een "hash" of wiskundige samenvatting van de code, waarmee u de malware kunt identificeren.
Wardle doorzocht de hash door de verzameling antivirus-malware-engines van VirusTotal en ontdekte dat alleen de Kaspersky- en ZoneAlarm-engines het detecteerden. De rest liet het voorbij gaan, wat betekent dat ze er niets van wisten.
Vervolgens zocht hij naar hashes die vergelijkbaar waren en vond er nog drie die zich aandienden als gecomprimeerde Word-bestanden. Geen enkele antivirus-engine heeft die gedetecteerd. (Veel meer antivirus-engines detecteren ze tegenwoordig, dankzij de blogpost van Wardle.)
Maar op 20 december had Apple al de digitale handtekening ingetrokken die nodig was om de malware op Macs te installeren met behulp van standaard beveiligingsinstellingen. Met andere woorden, Apple leek van de malware af te weten voordat de antivirusbedrijven dat deden, maar leek de antivirusbedrijven niet te hebben geïnformeerd.
Dit lijkt misschien niet zo belangrijk voor de gemiddelde computergebruiker, maar dat is het wel. Om ervoor te zorgen dat softwaremakers en antivirusbedrijven gebruikers goed kunnen beschermen tegen malware, moet iedereen op dezelfde lijn zitten. Het is een standaardpraktijk voor alle betrokkenen om informatie zo snel mogelijk te delen -- en Wardle suggereerde dat Apple niet eerlijk speelde.
Het malware-detectieprobleem "belicht dat traditionele AV worstelt met nieuwe/APT-malware op macOS… maar ook met de overmoed van Apple", vertelde Wardle aan Dan Goodin van Ars Technica. "We hebben ze dit eerder zien doen :( Het is ontmoedigend, en iemand moet ze erop aanspreken."
Tom's Guide heeft contact opgenomen met Apple voor commentaar en we zullen dit verhaal bijwerken wanneer we een reactie ontvangen.
- Macs aangevallen door Noord-Koreaanse hackers: wat u moet weten
- Bestverkopende Mac-app steelt je browsegeschiedenis
- Waarom Apple iPhones geen antivirussoftware nodig hebben