Fonte: IMPRENSA ASSOCIADAEm uma situação normal, qualquer tipo de malware após a detecção de uma das empresas de antivírus começa a ser detectado pelo software antivírus de outras empresas dentro de um dia ou dois (se não várias horas). Recentemente, foi descoberto que o vírus para Mac, encontrado há quatro meses, ainda não é detectado pelo software antivírus - nada além do Kaspersky e do ZoneAlarm.
De acordo com especialistas em segurança da informação, o Windshift (o nome dado ao malware) é um projeto de um grupo de crimes cibernéticos do Oriente Médio. O vírus foi repetidamente falado e escrito sobre, por exemplo,
aqui e
aqui .
Na semana passada, Patrick Wardle, especialista em segurança da informação do MacOS,
publicou uma análise detalhada do malware. Para estudar o vírus, o especialista o instalou e verificou imediatamente como os sistemas antivírus lidam com o perigo. Como se viu, apenas o Kaspersky e o ZoneAlarm estão "familiarizados" com esse malware; outras empresas não sabem nada sobre ele.
A Apple, descobriram os especialistas, também está familiarizada com malware, porque os certificados digitais com os quais o software foi assinado foram revogados (CSSMERR_TP_CERT_REVOKED). No entanto, após verificar o serviço VirusTotal, através do qual os arquivos relacionados ao malware foram executados, verificou-se que eles quase não foram detectados. Na maioria dos casos, o serviço não detectou nenhum problema - apenas dois fornecedores de soluções antivírus identificaram a presença de malware.
Tudo isso pode indicar que a Apple não fornece aos desenvolvedores de antivírus definições de malware. O fornecimento desses dados é uma prática comum (pode-se dizer até rotineira) no mundo do software antivírus. A troca desses dados ajuda os serviços e o software antivírus a aprender rapidamente a determinar a presença de novos malwares. Se ninguém fornece informações sobre isso, os desenvolvedores de antivírus não sabem nada sobre malware.
O princípio de operação do malware em si é bastante simples. Inicialmente, as mensagens de email de phishing são enviadas para possíveis vítimas. Eles contêm o URL da página com o arquivo .zip que contém malware. Depois que o download do arquivo é concluído, o malware tenta começar a usar um URL personalizado, o que não é muito difícil de fazer. Durante uma tentativa de acessar esse URL, uma página já aberta da qual o malware é carregado solicita a instalação de software de terceiros. Após a instalação, o malware é executado no sistema, fornecendo a substituição de URLs para páginas regulares.
A propósito, se o proprietário de um sistema infectado estiver conectado a uma rede local, o malware penetrará automaticamente em outros dispositivos conectados à mesma rede.
Agora, o vírus é quase inofensivo, porque os servidores acessados estão desativados e não funcionam. Além disso, as versões mais recentes do navegador Safari agora exibem uma notificação se um sistema de URL personalizado estiver ativado. E se o usuário decidir continuar, o recurso de segurança do Gatekeeper será ativado, o que permitirá que o proprietário do Mac saiba que seu sistema está tentando instalar algum tipo de arquivo.
Há pouco tempo, jornalistas de várias publicações tentaram descobrir pela Apple o que a empresa havia feito para eliminar a ameaça. A corporação respondeu que o problema foi resolvido e não será mais relevante para seus usuários. No entanto, não está claro o que exatamente foi feito e por que a Apple não fornece dados de ameaças aos serviços antivírus. Pode ser que essa situação se repita com outros malwares, e não apenas com o Windshift, por isso é difícil explicar essa linha de comportamento da empresa em termos de atendimento aos usuários.
A troca de dados de malware entre organizações individuais que combatem vírus é de grande importância para a segurança da informação. Se as empresas não tivessem trocado, o trabalho normal de identificar malware perigoso e eliminá-lo teria se tornado impossível. Infelizmente, a Apple não fornece informações sobre como participa de programas de troca de dados entre especialistas em antivírus. Como resultado, situações como essa se tornam possíveis.