Versteckt Apple wichtige Informationen über Malware-Angriffe vor Antiviren-Firmen? Ein prominenter Sicherheitsforscher glaubt, dass es so sein könnte.
Patrick Wardle, über dessen Entdeckungen wir schon oft in Tom's Guide geschrieben haben, analysierte letzten Monat eine neue Mac-Malware namens Windshift. Er bemerkte, dass Apple das digitale Zertifikat widerrufen hatte, mit dem die Malware auf Macs installiert werden konnte. Das ist gut.
Aber als Wardle VirusTotal, ein Online-Repository bekannter Malware, überprüfte, konnten nur zwei von etwa 60 Antivirus-Malware-Erkennungs-Engines Windshift erkennen. Keine der Malware-Engines entdeckte drei weitere Windshift-Varianten.
Für Wardle konnte dies nur eines bedeuten: Apple fand Malware, ohne die Antiviren-Firmen darüber zu informieren. Das ist schlimm, denn wer bereits infiziert war, hätte es vielleicht nie erfahren. In der Antivirus-Welt sollten Sie solche Informationen so schnell wie möglich weitergeben, um die Herdenimmunität aufrechtzuerhalten.
"Bedeutet das, dass Apple keine wertvolle Malware/Bedrohungsinformationen mit der AV-Community teilt und die Erstellung weit verbreiteter AV-Signaturen verhindert, die Endbenutzer schützen können?!" fragte Wardle in seinem Blogbeitrag. "Jawohl."
Windshift scheint im Rahmen einer staatlich geförderten Spionagekampagne bestimmte Personen im Nahen Osten ins Visier zu nehmen. Es wurde erstmals von DarkMatter-Forscher Taha Karim auf der Hack in the Box GSEC-Konferenz im vergangenen August in Singapur enthüllt.
Die Malware infiziert Macs von bösartigen Websites in einem mehrstufigen Prozess, dessen letzter Schritt, wie bei den meisten Mac-Malware, darin besteht, den Benutzer dazu zu bringen, die Malware installieren zu lassen.
Um diese Täuschung zu vereinfachen, präsentiert sich Windshift als verschiedene Microsoft Office für Mac-Dokumente, komplett mit hübschen Office-Symbolen. Die von Karim beschriebene Version, die Wardle zunächst betrachtete, gibt vor, eine komprimierte PowerPoint-Präsentation namens Meeting_Agenda.zip zu sein.
Am 20. Dezember suchte Wardle auf VirusTotal nach dieser Datei und fand eine Übereinstimmung unter den Millionen von Beispielen verdächtiger Software, die auf die Site hochgeladen wurden. Das VirusTotal-Beispiel enthielt einen "Hash" oder eine mathematische Zusammenfassung seines Codes, anhand derer Sie die Malware identifizieren können.
Wardle ließ den Hash durch die Sammlung von Antivirus-Malware-Engines von VirusTotal laufen und stellte fest, dass ihn nur die Engines von Kaspersky und ZoneAlarm erkannten. Der Rest ließ es verstreichen, was bedeutete, dass sie nichts davon wussten.
Dann suchte er nach ähnlichen Hashes und fand drei weitere, die sich als gezippte Word-Dateien präsentierten. Keine Antivirus-Engine hat diese erkannt. (Viele weitere Antiviren-Engines erkennen sie heute dank Wardles Blog-Posting.)
Am 20. Dezember hatte Apple jedoch bereits die digitale Signatur widerrufen, die für die Installation der Malware auf Macs mit den Standardsicherheitseinstellungen erforderlich ist. Mit anderen Worten, Apple schien von der Malware vor den Antiviren-Unternehmen gewusst zu haben, schien es den Antiviren-Unternehmen jedoch nicht mitgeteilt zu haben.
Dies mag für den durchschnittlichen Computerbenutzer keine große Sache sein, ist es aber. Damit Softwarehersteller und Antivirenunternehmen ihre Benutzer richtig vor Malware schützen können, müssen alle auf dem gleichen Stand sein. Es ist gängige Praxis für alle Beteiligten, Informationen so schnell wie möglich auszutauschen – und Wardle deutete an, dass Apple nicht fair spielte.
Das Problem der Malware-Erkennung „hebt hervor, dass traditionelle AV mit neuer/APT-Malware auf macOS zu kämpfen hat… aber auch Apples Hybris“, sagte Wardle gegenüber Dan Goodin von Ars Technica. "Wir haben sie schon einmal gesehen, wie sie dies tun :( Es ist entmutigend, und jemand muss sie darauf hinweisen."
Tom's Guide hat Apple um einen Kommentar gebeten, und wir werden diese Geschichte aktualisieren, wenn wir eine Antwort erhalten.
- Von nordkoreanischen Hackern angegriffene Macs: Was Sie wissen sollten
- Die meistverkaufte Mac-App stiehlt Ihren Browserverlauf
- Warum Apple iPhones keine Antivirus-Software benötigen