Microsoft предупредила о существенном росте числа информационно‑кражных программ (инфостилеров), нацеленных на macOS — угрозы, которые ранее в основном затрагивали Windows. Хакеры всё активнее используют кроссплатформенные языки программирования (например, Python) и злоупотребляют доверенными утилитами и сервисами для скрытой установки вредоносного ПО.
С конца 2025 года эксперты Microsoft Defender отмечают значительное увеличение атак на компьютеры под управлением macOS. Злоумышленники применяют методы социальной инженерии: фальшивые рекламные объявления, поддельные установщики деформатов DMG, вводящие в заблуждение «ClickFix»‑попапы и ложные сайты с якобы полезным программным обеспечением. Эти ловушки убеждают пользователей загрузить и запустить вредоносные файлы, часто под видом популярных утилит, конвертеров или инструментов с ИИ‑поддержкой.
Основные угрозы и техники злоумышленников:
- Использование кроссплатформенного кода на Python, который позволяет адаптировать вредоносное ПО под разные операционные системы и быстрее развёртывать атаки.
- Маскировка вредоносного кода под безобидные приложения и ложные установщики, созданные для обмана пользователей.
- Применение «бесфайловых» техник, нативных инструментов macOS и автоматизации через AppleScript, что помогает избегать традиционных методов обнаружения.
- Распространение через фишинг‑кампании, поддельную рекламу и злоупотребление доверенными платформами (например, мессенджерами и PDF‑утилитами) для доставки кода.
Вредоносные программы, наиболее часто упоминаемые экспертами:
- DigitStealer — инфостилер, который крадёт пароли, данные сессий, банковские учётные записи и криптовалютные ключи.
- MacSync — активная кампания по добыче учётных данных, в том числе с применением доверенных сертификатов и обходом Gatekeeper.
- AMOS (Atomic macOS Stealer) — мощный инфостилер, который похищает ключи браузеров, ключ‑чейны, токены и финансовые данные; известны случаи установки устойчивых «бекдоров», сохраняющих доступ после перезагрузки системы.
- Eternidade Stealer — распространяющийся через популярные мессенджеры (например, WhatsApp*), нацеленный на учётные записи банковских сервисов и криптобирж.
В качестве примеров злоумышленники часто используют фейковое приложение Crystal PDF, которое притворяется легитимным редактором PDF, но на самом деле крадёт данные из браузеров Firefox и Chrome.
Почему это опасно:
Инфостилеры могут незаметно похищать пароли, токены двухфакторной аутентификации, ключи iCloud Keychain и данные кошельков криптовалют. Полученные учётные данные дают злоумышленникам полный контроль над онлайн‑банкингом, корпоративными сервисами, облачными инфраструктурами и личной перепиской.
Рекомендации по защите:
- Загружайте программы только из официальных источников (Mac App Store или сайты разработчиков).
- Будьте особенно внимательны к нежелательной рекламе и подозрительным ссылкам.
- Обучайте сотрудников и пользователей методам распознавания фишинга и поддельных установщиков.
- Внедряйте многоуровневую защиту, включая расширенное обнаружение угроз и сетевой мониторинг для выявления подозрительной активности.
