miércoles, 27 de julio de 2011

La evolución del "antivirus" de Mac OS X

Richard Gaywood ha escrito un artículo muy interesante sobre cómo ha evolucionado el fichero de firmas del "antivirus" integrado en Mac OS X durante los últimas semanas. Vamos a intentar sacar conclusiones de él.

xProtect se introdujo en septiembre de 2009. Se trata de un rudimentario sistema "antivirus". Tan rudimentario que cuando apareció solo reconocía dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas. Según nuestros registros, la evolución de las firmas ha sido la siguiente:

* Septiembre 2009: OSX.RSPlug.A, OSX.Iservice

* Junio 2010: OSX.HellRTS

* Marzo 2011: OSX.OpinionSpy

* Mayo-junio 2011: OSX.MacDefender.A, OSX.MacDefender.B,
OSX.MacDefender.CDE, OSX.MacDefender.F, OSX.MacDefender.G,
OSX.MacDefender.HI, OSX.MacDefender.J, OSX.MacDefender.K,
OSX.MacDefender.L, OSX.MacDefender.M, OSX.MacDefender.N, OSX.MacDefender.O

Lo que ha hecho Richard Gaywood es recopilar en un gráfico la evolución de esas gráficas desde mayo de 2011. Con este resultado.






Del gráfico se desprende que Apple tuvo que trabajar duro durante la explosión de MacDefender, emitiendo nuevas firmas casi a diario, puesto que los atacantes creaban variantes rápidamente y conseguían eludir xProtect. Se detectan dos bajadas en el número de firmas. Esto es porque en Apple encontraron una forma de detectar más variantes con menos firmas, no porque se "eliminaran" y bajase el nivel de protección. Desde el 18 de junio, no se ha actualizado el fichero de firmas. En ese momento se detectan 15 variantes de MacDefender con 12 firmas diferentes, más las firmas para el resto de malware más "antiguo".

En nuestra base de datos de VirusTotal, se detecta también una importante bajada estos días de muestras detectadas como MacDefender, con lo que se puede decir que ha vuelto a la "calma" tras la oleada sufrida en mayo y junio. Parece que los atacantes han lanzado una campaña concreta durante unos meses y la ofensiva ha terminado. Teniendo en cuenta los recursos invertidos, ha supuesto una de las campañas más agresivas contra Mac.

La pregunta es por qué la han dado por terminada una campaña que puso en jaque a Apple (y sobre todo, a su departamento de ayuda telefónica). ¿Quizás los atacantes no han conseguido su objetivo? ¿Ha supuesto una apuesta en recursos que no han terminado de compensar con las ganancias? ¿Cambiarán su estrategia? Estaremos atentos.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Mac malware 'explosion' missing in action
http://www.tuaw.com/2011/07/21/mac-malware-explosion-missing-in-action/

Malware para Mac. Vamos a contar mentiras (I)
http://www.hispasec.com/unaaldia/4599

1 Malware para Mac. Vamos a contar mentiras (II)
http://www.hispasec.com/unaaldia/4600

Malware para Mac. Vamos a contar mentiras (y III)
http://www.hispasec.com/unaaldia/4617

No hay comentarios:

Publicar un comentario en la entrada