Специалисты по системному администрированию Mac всё чаще обсуждают отчет Netskope Threat Labs, посвященный новой кампании под названием ClickFix. Эта схема представляет собой пример высокотехнологичной социальной инженерии, который заставляет пересмотреть привычные подходы к безопасности корпоративных сетей.
Механика атаки ClickFix
Тактика ClickFix заключается в том, что злоумышленники обманом заставляют пользователей копировать и вставлять вредоносный скрипт непосредственно в приложение Terminal (интерфейс командной строки). Для этого используются поддельные окна проверки CAPTCHA или ложные уведомления об обновлении браузера. Как только скрипт запускается, на экране появляется диалоговое окно, которое внешне невозможно отличить от системного запроса macOS.
Программа требует ввести пароль пользователя и переходит в бесконечный цикл, пока данные не будут предоставлены. Кнопка закрытия в таком окне не предусмотрена. После получения пароля вредоносное ПО похищает базу данных «Связка ключей» (Keychain), а также активные сессионные файлы (cookies) из браузеров Safari и Google Chrome.
- Кража сессионных cookies является главной целью атаки.
- Это позволяет хакерам полностью обходить многофакторную аутентификацию (MFA).
- Злоумышленники получают прямой доступ к корпоративным аккаунтам без необходимости повторного подтверждения входа.
Защитные механизмы операционной системы
Компания Apple уже начала внедрять контрмеры против подобных атак. В актуальных версиях ОС, включая macOS Sequoia, появилось встроенное предупреждение безопасности для приложения Terminal. Эта функция распознает попытки вставки потенциально опасных команд из сомнительных источников и предупреждает пользователя, блокируя выполнение вредоносного кода на раннем этапе.
Риски политики отложенных обновлений
Исторически ИТ-администраторы могли откладывать установку обновлений macOS на срок до 90 дней. В течение многих лет это считалось лучшей практикой: у технических отделов было время протестировать внутренние приложения и обеспечить стабильную работу парка устройств. Однако в эпоху киберугроз, использующих искусственный интеллект, трехмесячная задержка становится критической уязвимостью.
Если организация откладывает обновления на максимальный срок, ее сотрудники лишаются защиты на уровне операционной системы, такой как новые предупреждения в терминале. В обзоре отмечается, что в течение всего квартала корпоративные данные остаются открытыми для атак, которые современная версия ОС могла бы легко предотвратить.
Рекомендации экспертов
Специалисты полагают, что Apple стоит пересмотреть структуру управления устройствами и официально сократить максимальное окно задержки обновлений с 90 до 30–45 дней. В экспертном сообществе подчеркивают: если сторонний разработчик ПО не адаптировал свой продукт под новую версию macOS в течение месяца после релиза, это является проблемой поставщика софта, а не операционной системы.
Даже если возможность 90-дневной отсрочки сохранится, ИТ-командам рекомендуется самостоятельно ужесточить внутренние политики. Установка обновлений в течение 30 дней позволяет соблюсти баланс между тестированием совместимости и защитой инфраструктуры от возникающих угроз. В современных условиях компания не может позволить себе оставлять устройства уязвимыми на протяжении четверти года.
