Fuente: PRENSA ASOCIADAEn una situación normal, el software antivirus de otras compañías comienza a detectar malware de cualquier tipo después de la detección de una de las compañías antivirus en un día o dos (si no varias horas). Recientemente se descubrió que el virus para Mac, que se encontró hace cuatro meses, todavía no es detectado por el software antivirus, nada más que Kaspersky y ZoneAlarm.
Según los expertos en seguridad de la información, Windshift (el nombre dado al malware) es un proyecto de un grupo de delitos informáticos de Oriente Medio. El virus ha sido repetidamente hablado y escrito sobre, por ejemplo,
aquí y
aquí .
La semana pasada, el especialista en seguridad de la información de MacOS, Patrick Wardle,
publicó un análisis detallado del malware. Para estudiar el virus, el experto lo instaló e inmediatamente verificó qué tan bien los sistemas antivirus hacen frente al peligro. Al final resultó que, solo Kaspersky y ZoneAlarm están "familiarizados" con este malware, otras compañías no saben nada al respecto.
Los expertos descubrieron que Apple también está familiarizado con el malware, porque los certificados digitales con los que está firmado el software han sido revocados (CSSMERR_TP_CERT_REVOKED). Sin embargo, después de verificar el servicio VirusTotal, a través del cual se ejecutaron los archivos relacionados con el malware, resultó que casi no se detectaron. En la mayoría de los casos, el servicio no detectó ningún problema: solo dos proveedores de soluciones antivirus identificaron la presencia de malware.
Todo esto puede indicar que Apple no proporciona a los desarrolladores de antivirus definiciones de malware. Proporcionar estos datos es una práctica común (incluso podría decirse de rutina) en el mundo del software antivirus. El intercambio de estos datos ayuda a los servicios y al software antivirus a aprender rápidamente a determinar la presencia de nuevo malware. Si nadie proporciona información sobre esto, los desarrolladores de antivirus no saben nada sobre malware.
El principio de funcionamiento del malware en sí es bastante simple. Inicialmente, se envían mensajes de correo electrónico de phishing a posibles víctimas. Contienen la URL de la página con el archivo .zip que contiene malware. Una vez que se completa la descarga del archivo, el malware intenta comenzar a usar una URL personalizada, lo cual no es demasiado difícil de hacer. Durante un intento de acceder a esta URL, una página ya abierta desde la que se carga el malware solicita instalar un software de terceros. Después de la instalación, el malware se ejecuta en el sistema, proporcionando la sustitución de URL por páginas normales.
Por cierto, si el propietario de un sistema infectado está conectado a una red local, el malware penetra automáticamente en otros dispositivos conectados a la misma red.
Ahora el virus es casi inofensivo, porque los servidores a los que accedió están desactivados y no funcionan. Además, las últimas versiones del navegador Safari ahora muestran una notificación si se habilita un sistema de URL personalizado. Y si el usuario incluso decide continuar, se activa la función de seguridad Gatekeeper, que le permitirá al propietario de Mac saber que su sistema está intentando instalar algún tipo de archivo.
No hace mucho, los periodistas de varias publicaciones intentaron averiguar por parte de Apple qué había hecho la compañía para eliminar la amenaza. La corporación respondió que el problema se ha resuelto y ya no será relevante para sus usuarios. Sin embargo, no está claro qué se ha hecho exactamente y por qué Apple no proporciona datos de amenazas a los servicios antivirus. Es muy posible que esta situación se repita con otro malware, y no solo con Windshift, por lo que esta línea de comportamiento de la empresa es difícil de explicar en términos de cuidado de sus usuarios.
El intercambio de datos de malware entre organizaciones individuales que luchan contra los virus es de gran importancia para la seguridad de la información. Si las compañías no hubieran intercambiado, el trabajo normal de identificar malware peligroso y eliminarlos se habría vuelto imposible. Desafortunadamente, Apple no proporciona información sobre cómo participa en los programas de intercambio de datos entre especialistas en antivirus. Como resultado, situaciones como esta se vuelven posibles.