Source: PRESSE ASSOCIÉEDans une situation normale, les logiciels malveillants de toute nature après la détection de l'une des sociétés antivirus commencent à être détectés par le logiciel antivirus d'autres sociétés dans un jour ou deux (voire plusieurs heures). Récemment, il a été découvert que le virus pour Mac, découvert il y a quatre mois, n'est toujours pas détecté par un logiciel antivirus - rien que Kaspersky et ZoneAlarm.
Selon des experts en sécurité de l'information, Windshift (le nom donné aux logiciels malveillants) est un projet d'un groupe de cybercriminalité du Moyen-Orient. Le virus a été parlé et écrit à plusieurs reprises, par exemple,
ici et
ici .
La semaine dernière, le spécialiste de la sécurité des informations de MacOS, Patrick Wardle, a
publié une analyse détaillée du malware. Pour étudier le virus, l'expert l'a installé et a immédiatement vérifié dans quelle mesure les systèmes antivirus font face au danger. Il s'est avéré que seuls Kaspersky et ZoneAlarm sont «familiers» avec ce malware, les autres sociétés n'en savent rien.
Apple, des experts ont découvert, est également familier avec les logiciels malveillants, car les certificats numériques avec lesquels le logiciel est signé ont été révoqués (CSSMERR_TP_CERT_REVOKED). Cependant, après avoir vérifié le service VirusTotal, via lequel les fichiers liés au malware ont été exécutés, il s'est avéré qu'ils n'étaient presque pas détectés. Dans la plupart des cas, le service n'a détecté aucun problème - seuls deux fournisseurs de solutions antivirus ont identifié la présence de logiciels malveillants.
Tout cela peut indiquer qu'Apple ne fournit pas aux développeurs d'antivirus des définitions de logiciels malveillants. La fourniture de ces données est une pratique courante (on pourrait même dire de routine) dans le monde des logiciels antivirus. L'échange de ces données aide les services et les logiciels antivirus à apprendre rapidement à déterminer la présence de nouveaux logiciels malveillants. Si personne ne donne d'informations à ce sujet, les développeurs d'antivirus ne savent rien des logiciels malveillants.
Le principe de fonctionnement du malware lui-même est assez simple. Initialement, des messages électroniques de phishing sont envoyés aux victimes potentielles. Ils contiennent l'URL de la page avec le fichier .zip contenant un malware. Une fois le téléchargement du fichier terminé, le malware essaie de commencer à utiliser une URL personnalisée, ce qui n'est pas trop difficile à faire. Lors d'une tentative d'accès à cette URL, une page déjà ouverte à partir de laquelle le malware est chargé fait une demande d'installation de logiciel tiers. Après l'installation, le malware s'exécute sur le système, en remplaçant les URL par des pages régulières.
Soit dit en passant, si le propriétaire d'un système infecté est connecté à un réseau local, le logiciel malveillant pénètre automatiquement dans d'autres appareils connectés au même réseau.
Maintenant, le virus est presque inoffensif, car les serveurs auxquels il a accédé sont désactivés et ne fonctionnent pas. De plus, les dernières versions du navigateur Safari affichent désormais une notification si un système d'URL personnalisé est activé. Et si l'utilisateur décide même de continuer, la fonction de sécurité Gatekeeper est activée, ce qui permettra au propriétaire du Mac de savoir que son système essaie d'installer une sorte de fichier.
Il n'y a pas si longtemps, des journalistes de plusieurs publications ont tenté de découvrir auprès d'Apple ce que l'entreprise avait fait pour éliminer la menace. La société a répondu que le problème a été résolu et ne sera plus pertinent pour ses utilisateurs. Cependant, on ne sait pas exactement ce qui a été fait et pourquoi Apple ne fournit pas de données sur les menaces aux services antivirus. Il est possible que cette situation se répète avec d'autres logiciels malveillants, et pas seulement avec Windshift, de sorte que cette ligne de comportement de l'entreprise est difficile à expliquer en termes de prise en charge de ses utilisateurs.
L'échange de données sur les logiciels malveillants entre différentes organisations qui luttent contre les virus est d'une grande importance pour la sécurité des informations. Si les entreprises n'avaient pas échangé, le travail normal d'identification des logiciels malveillants dangereux et de leur élimination serait devenu impossible. Malheureusement, Apple ne fournit pas d'informations sur la manière dont il participe aux programmes d'échange de données entre spécialistes antivirus. En conséquence, des situations comme celle-ci deviennent possibles.