Có phải Apple đang giữ thông tin quan trọng về các cuộc tấn công bằng phần mềm độc hại khỏi các công ty chống vi-rút? Một nhà nghiên cứu bảo mật nổi tiếng cho rằng có thể là như vậy.
Patrick Wardle, về những khám phá mà chúng tôi đã viết nhiều lần trên Tom's Guide, vào tháng trước đã phân tích một loại phần mềm độc hại Mac mới có tên là Windshift. Ông nhận thấy rằng Apple đã thu hồi chứng chỉ kỹ thuật số cho phép phần mềm độc hại cài đặt trên máy Mac. Tốt đấy.
Nhưng khi Wardle kiểm tra VirusTotal, một kho lưu trữ trực tuyến các phần mềm độc hại đã biết, chỉ có hai trong số 60 công cụ phát hiện phần mềm độc hại chống virus có thể phát hiện ra Windshift. Không có công cụ phần mềm độc hại nào phát hiện ra ba biến thể Windshift khác.
Đối với Wardle, điều này chỉ có thể có nghĩa một điều: Apple đã tìm thấy phần mềm độc hại mà không thông báo cho các công ty chống vi-rút về nó. Điều đó thật tệ, bởi vì bất kỳ ai đã bị nhiễm bệnh có thể không bao giờ phát hiện ra. Trong thế giới chống vi-rút, bạn phải chia sẻ những thông tin đó càng sớm càng tốt để duy trì khả năng miễn dịch của bầy đàn.
"Điều này có nghĩa là Apple không chia sẻ thông tin về phần mềm độc hại / mối đe dọa có giá trị với cộng đồng AV, ngăn cản việc tạo ra các chữ ký AV rộng rãi có thể bảo vệ người dùng cuối ?!" Wardle đã hỏi trong bài đăng trên blog của mình. "Đúng."
Windshift dường như nhắm mục tiêu vào các cá nhân cụ thể ở Trung Đông như một phần của chiến dịch gián điệp do nhà nước tài trợ. Nó lần đầu tiên được tiết lộ bởi nhà nghiên cứu DarkMatter Taha Karim tại hội nghị Hack in the Box GSEC ở Singapore vào tháng 8 năm ngoái.
Phần mềm độc hại lây nhiễm sang máy Mac từ các trang web độc hại trong một quy trình nhiều tầng, bước cuối cùng của quá trình này, giống như hầu hết phần mềm độc hại trên Mac, liên quan đến việc đánh lừa người dùng để phần mềm độc hại cài đặt.
Để làm cho việc lừa dối đó trở nên dễ dàng hơn, Windshift tự giới thiệu mình dưới dạng các tài liệu Microsoft Office dành cho Mac khác nhau, hoàn chỉnh với các biểu tượng Office đẹp mắt. Phiên bản mà Karim đã trình bày chi tiết và mà Wardle xem xét ban đầu, giả vờ là một bản trình bày PowerPoint nén có tên là Meeting_Agenda.zip.
Vào ngày 20 tháng 12, Wardle đã tìm kiếm tệp đó trên VirusTotal và tìm thấy một tệp trùng khớp trong số hàng triệu mẫu phần mềm đáng ngờ được tải lên trang web. Mẫu VirusTotal có "băm" hoặc tóm tắt toán học về mã của nó, qua đó bạn có thể xác định phần mềm độc hại.
Wardle đã chạy hàm băm thông qua bộ sưu tập các công cụ phần mềm độc hại chống vi-rút của VirusTotal và nhận thấy rằng chỉ có các công cụ Kaspersky và ZoneAlarm mới phát hiện ra nó. Phần còn lại để nó trôi qua, có nghĩa là họ không biết về nó.
Sau đó, anh ấy tìm kiếm các hàm băm tương tự và tìm thấy 3 hàm khác tự hiển thị dưới dạng tệp Word được nén. Không có công cụ chống vi-rút nào phát hiện ra những điều đó. (Ngày nay, nhiều công cụ chống vi-rút hơn đã phát hiện ra chúng, nhờ bài đăng trên blog của Wardle.)
Tuy nhiên, vào ngày 20 tháng 12, Apple đã thu hồi chữ ký kỹ thuật số cần thiết để phần mềm độc hại cài đặt trên máy Mac sử dụng cài đặt bảo mật mặc định. Nói cách khác, Apple dường như đã biết về phần mềm độc hại này trước khi các công ty chống vi-rút làm, nhưng dường như đã không nói với các công ty chống vi-rút.
Điều này có vẻ không phải là một vấn đề lớn đối với người dùng máy tính bình thường, nhưng nó là như vậy. Để các nhà sản xuất phần mềm và công ty chống vi-rút có thể bảo vệ người dùng chống lại phần mềm độc hại một cách hợp lý, mọi người cần phải ở trên cùng một trang. Đó là thông lệ hoạt động tiêu chuẩn cho tất cả những người có liên quan để chia sẻ thông tin càng sớm càng tốt - và Wardle ngụ ý rằng Apple không chơi công bằng.
Wardle nói với Dan Goodin của Ars Technica, vấn đề phát hiện phần mềm độc hại "nhấn mạnh rằng AV truyền thống phải vật lộn với phần mềm độc hại mới / APT trên macOS … mà còn cả sự kiêu ngạo của Apple". "Chúng tôi đã từng thấy họ làm điều này trước đây :( Thật là thất vọng và ai đó cần kêu gọi họ về nó."
Tom's Guide đã liên hệ với Apple để nhận xét và chúng tôi sẽ cập nhật câu chuyện này khi nhận được phản hồi.
- Máy Mac bị tin tặc Triều Tiên tấn công: Điều cần biết
- Ứng dụng Mac bán chạy nhất đánh cắp lịch sử duyệt web của bạn
- Tại sao iPhone của Apple không cần phần mềm chống vi-rút