Первый квартал текущего года продемонстрировал относительное затишье в сегменте безопасности iPhone. В отношении закрытой экосистемы iOS отсутствие новостей традиционно считается хорошим признаком. Однако ситуация с macOS выглядит иначе: эксперты отмечают значительную трансформацию угроз, где основной акцент сместился с технического взлома системы на манипуляцию действиями пользователя.
Методы социальной инженерии: ClickFix и ложные обновления
Одной из наиболее актуальных угроз стал метод ClickFix. Злоумышленники создают поддельные страницы с проверкой CAPTCHA, уведомления об «очистке диска» или имитируют установщики популярных инструментов на базе искусственного интеллекта, таких как ChatGPT или Claude. Часто вредоносные инструкции продвигаются через рекламные объявления в поисковых системах, которые ведут на поддельные ресурсы.
Специалисты выделили несколько опасных схем:
- CrashFix — вредоносное расширение для браузера, которое имитирует сбой программы и предлагает пользователю пройти через ложный процесс «восстановления», в ходе которого устанавливается инфостилер (программа для кражи данных).
- Тайпосквоттинг — регистрация доменных имен, очень похожих на оригинальные названия сервисов, для распространения поддельных кошельков криптовалют.
- Использование легитимных платформ для хостинга вредоносных инструкций, что затрудняет их обнаружение фильтрами безопасности.
Эволюция вредоносного ПО: от кражи данных к полному контролю
В начале года на рынке вредоносного ПО для Mac произошли структурные изменения. Лидировавший долгое время Atomic Stealer (AMOS) начал терять позиции из-за закрытия официального сайта разработчика в теневом сегменте интернета. Тем не менее код этого вируса продолжает активно использоваться в новых модификациях.
Согласно отчету Jamf Security 360, за прошедший год доля троянских программ среди всех обнаруженных угроз для Mac выросла с 16,6% до 50,3%. Современные инфостилеры становятся модульными: теперь они не просто копируют пароли, но и создают бэкдоры (скрытые точки входа) для обеспечения долгосрочного присутствия в системе. Это позволяет хакерам возвращаться в сеть жертвы без необходимости повторного фишинга.
Реакция Apple и противостояние защитных механизмов
Компания Apple оперативно внедряет новые инструменты защиты. В системе macOS Sequoia была устранена возможность обхода проверки Gatekeeper через контекстное меню (правой кнопкой мыши), что ранее позволяло пользователям случайно запускать неподписанные приложения.
В обновлении macOS Tahoe 26.4 появилась функция предупреждения при вставке подозрительных команд в «Терминал». Однако злоумышленники быстро адаптировались: новая версия ClickFix использует схему applescript://, которая открывает «Редактор скриптов» в обход «Терминала», из-за чего системное предупреждение не срабатывает.
Активность северокорейских группировок
Особую активность в первом квартале проявили хакеры из Северной Кореи. Основной целью стали разработчики программного обеспечения. Злоумышленники действуют через социальные сети для поиска контактов, выдавая себя за рекрутеров крупных компаний.
Схема атаки обычно выглядит так:
- Установление контакта и предложение высокооплачиваемой работы.
- Отправка «технического задания» в виде проекта для сборки или теста на программирование.
- Внедрение вредоносного кода (например, семейств BeaverTail или FlexibleFerret) в процессе компиляции проекта пользователем.
Эксперты отмечают, что такие атаки крайне эффективны, так как строятся на доверительных отношениях. В некоторых случаях хакерам удавалось использовать официально подписанные сертификаты разработчика Apple для обхода встроенной защиты XProtect.
Роль искусственного интеллекта в киберпреступности
Искусственный интеллект (ИИ) становится инструментом по обе стороны баррикад. Зафиксированы случаи использования ИИ для генерации кода вредоносных программ и автоматической мутации вирусов, что позволяет им ежедневно менять свою структуру и избегать обнаружения антивирусами. Сообщается о создании целых фреймворков, управляемых ИИ-агентами, которые планируют атаки и внедрение новых функций по графику.
В то же время Apple и другие технологические гиганты получили доступ к специализированным моделям, таким как Claude Mythos от Anthropic. Эта нейросеть предназначена для поиска уязвимостей в программном коде. В ходе тестирования она успешно обнаружила тысячи неизвестных ранее уязвимостей нулевого дня в различных операционных системах и браузерах. Использование подобных инструментов внутри Apple должно ускорить процесс закрытия дыр в безопасности macOS, однако эксперты предупреждают, что со временем подобные мощности станут доступны и атакующей стороне.
