Security Bite: Вредоносное ПО, которое ваш Mac может обнаружить и удалить

Arin Waichulis | Пятница, 28 ноября, 2025, 07:31.

Avatar for Arin Waichulis
 | 28 ноября 2025 г. — 7:31 PT
apple security xprotect mac macos

9to5Mac Security Bite эксклюзивно предоставлен Mosyle, единственной универсальной платформой Apple. Мы занимаемся тем, что делаем устройства Apple готовыми к работе и безопасными для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения для безопасности Apple для полностью автоматизированного усиления защиты и соответствия требованиям, EDR нового поколения, основанный на искусственном интеллекте Zero Trust и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. Результатом является полностью автоматизированная Универсальная Платформа Apple, которой в настоящее время доверяют более 45 000 организаций, чтобы без усилий и по доступной цене подготовить миллионы устройств Apple к работе. Запросите расширенный пробный период сегодня и поймите, почему Mosyle — это все, что вам нужно для работы с Apple.

Обновлено 28 ноября 2025 г.

Когда-нибудь задумывались, какое вредоносное ПО macOS может обнаружить и удалить без помощи стороннего программного обеспечения? Apple постоянно добавляет новые правила обнаружения вредоносных программ во встроенный пакет XProtect на Mac. Хотя большинство имен правил (сигнатур) зашифрованы, путем небольшого реверс-инжиниринга исследователи безопасности могут сопоставить их с их общепринятыми отраслевыми названиями.

В этом обновленном выпуске «Security Bite» к Дню благодарения я возвращаюсь к истории, над которой начал работать в мае 2024 года. Поскольку Apple постоянно добавляет новые модули в свой пакет XProtect для борьбы с последними тенденциями в области вредоносных программ, я предполагаю, что эта колонка будет обновляться со временем. Вот какое вредоносное ПО ваш Mac может обнаружить и удалить самостоятельно:

XProtect, правила Yara, что это?

XProtect был представлен в 2009 году как часть macOS X 10.6 Snow Leopard. Изначально он был выпущен для обнаружения и оповещения пользователей, если вредоносное ПО было обнаружено в установочном файле. Однако XProtect в последнее время значительно эволюционировал. Прекращение поддержки долгое время существовавшего инструмента Malware Removal Tool (MRT) в апреле 2022 года привело к появлению XProtectRemediator (XPR), более мощного нативного компонента антивирусного ПО, отвечающего за обнаружение и устранение угроз на Mac.

Пакет XProtect использует обнаружение на основе сигнатур Yara для идентификации вредоносного ПО. Yara сама по себе является широко используемым инструментом с открытым исходным кодом, который идентифицирует файлы (включая вредоносное ПО) на основе конкретных характеристик и шаблонов в коде или метаданных. Что замечательно в правилах Yara, так это то, что любая организация или отдельное лицо может создавать и использовать свои собственные, включая Apple.

По состоянию на macOS 15 Sequoia пакет XProtect состоит из трех основных компонентов:

  1. Приложение XProtect может обнаруживать вредоносное ПО, используя правила Yara, всякий раз, когда приложение впервые запускается, изменяется или обновляет свои сигнатуры.
  2. XProtectRemediator (XPR) более проактивен и может обнаруживать и удалять вредоносное ПО путем регулярного сканирования с использованием правил Yara, среди прочего. Это происходит в фоновом режиме в периоды низкой активности и минимально влияет на ЦП.
  3. Последняя версия macOS включает XProtectBehaviorService (XBS), который отслеживает поведение системы в отношении критически важных ресурсов.

К сожалению, Apple в основном использует общие внутренние схемы именования в XProtect, которые маскируют распространенные названия вредоносного ПО. Хотя это делается по веским причинам, это затрудняет для любопытных точное определение того, какое вредоносное ПО XProtect может идентифицировать.

Например, некоторые правила Yara получают более очевидные имена, такие как XProtect_MACOS_PIRRIT_GEN, сигнатура для обнаружения рекламного ПО Pirrit. Однако в XProtect вы в основном найдете более общие правила, такие как XProtect_MACOS_2fc5997, и внутренние сигнатуры, которые знают только инженеры Apple, например XProtect_snowdrift. Вот где появляются исследователи безопасности, такие как Фил Стоукс и Олден.

Фил Стоукс из Sentinel One Labs ведет удобный репозиторий на GitHub, который сопоставляет эти зашифрованные сигнатуры, используемые Apple, с более распространенными именами, используемыми поставщиками и найденными в общедоступных сканерах вредоносных программ, таких как VirusTotal. Более того, Олден недавно добился значительного прогресса в понимании того, как работает XPR, извлекая правила Yara из бинарных файлов его модуля сканирования.

Как найти XProtect на моем Mac?

XProtect включен по умолчанию во всех версиях macOS. Он также работает на системном уровне, полностью в фоновом режиме, поэтому вмешательство не требуется. Обновления XProtect также происходят автоматически. Вот где он находится:

  1. В Macintosh HD перейдите в Library > Apple > System > Library > CoreServices
  2. Отсюда вы можете найти средства устранения, щелкнув правой кнопкой мыши на XProtect
  3. Затем нажмите Показать содержимое пакета
  4. Разверните Contents
  5. Откройте MacOS

Примечание: Пользователям не следует полностью полагаться на пакет XProtect от Apple, так как он предназначен для обнаружения известных угроз. Более продвинутые или изощренные атаки могут легко обойти обнаружение. Тем не менее, я настоятельно рекомендую установить любое из доступных сторонних средств обнаружения и удаления вредоносных программ.

25 модулей сканирования в XProtect Remediator v156

Вредоносное ПО, которое macOS может удалить самостоятельно

В то время как само приложение XProtect может только обнаруживать и блокировать угрозы, именно сканирующие модули XPR отвечают за их удаление. В настоящее время мы можем идентифицировать 23 из 25 средств устранения в текущей версии XPR (v156) для защиты вашего компьютера от вредоносного ПО. Почти все модули используют внутренние схемы именования Apple и не уведомляют пользователя при запуске сканирования или выполнении устранения. Вот что мы знаем о каждом из них:

  1. Adload: Загрузчик рекламного и бандл-ПО, нацеленный на пользователей macOS с 2017 года. Adload был способен избегать обнаружения до последнего крупного обновления XProtect, которое добавило 74 новых правила обнаружения Yara, нацеленных на вредоносное ПО.
  2. BadGacha: Все еще официально не идентифицировано. Однако оно приобрело репутацию источника ложных срабатываний, часто помечая безобидные вспомогательные приложения в невредоносном программном обеспечении (например, 1Password) как потенциальные угрозы, согласно The Eclectic Light Company.
  3. BlueTop: «BlueTop, похоже, является кампанией Trojan-Proxy, освещавшейся Kaspersky в конце 2023 года», — говорит Alden.
  4. Bundlore: Новый модуль, добавленный в декабре 2024 года. Название этого модуля не зашифровано. Bundlore — это семейство распространенных дропперов рекламного ПО, нацеленных на системы macOS. Многие сторонние антивирусные сканеры могут обнаружить bundlore и остановить его в реальном времени. Это не значительная угроза.
  5. CardboardCutout: Этот модуль работает немного иначе, чем другие. Вместо сканирования на наличие определенного типа вредоносного ПО, CardboardCutout действует, создавая «вырезку» вредоносного ПО с известными сигнатурами и останавливает его до того, как оно получит шанс запуститься в системе.
  6. ColdSnap: «ColdSnap, вероятно, ищет версию вредоносного ПО SimpleTea для macOS. Это также было связано с утечкой 3CX и имеет общие черты с вариантами для Linux и Windows». SimpleTea (SimplexTea для Linux) — это троян удаленного доступа (RAT), который, как полагают, возник в КНДР.
  7. Conductor: Это фактически не сканер вредоносного ПО. Conductor, по-видимому, является инфраструктурным модулем, который управляет планированием и работоспособностью других компонентов устранения, чтобы обеспечить их правильную работу.
  8. Crapyrator: Crapyrator был идентифицирован как macOS.Bkdr.Activator. Это вредоносная кампания, обнаруженная в феврале 2024 года, которая «массово заражает пользователей macOS, потенциально с целью создания ботнета macOS или массовой доставки другого вредоносного ПО», — заявляет Фил Стоукс для Sentinel One.
  9. DubRobber: Тревожный и универсальный дроппер-троян, также известный как XCSSET.
  10. Eicar: Безвредный файл, который намеренно разработан для активации антивирусных сканеров, не являясь вредоносным.
  11. FloppyFlipper: Пока не идентифицирован.
  12. Genieo: Очень часто документированная потенциально нежелательная программа (PUP). Настолько, что у нее есть даже своя страница в Википедии.
  13. GreenAcre: GreenAcre был идентифицирован как OSX.Gimmick. Это сложный кроссплатформенный шпион, используемый в целевых атаках, который скрывает свой трафик, используя общедоступные облачные сервисы, такие как Google Drive, для управления и контроля.
  14. KeySteal: KeySteal — это инфостилер для macOS, впервые замеченный в 2021 году и добавленный в XProtect в феврале 2023 года.
  15. MRTv3: Это набор компонентов для обнаружения и удаления вредоносного ПО, унаследованный XProtect от своего предшественника, Malware Removal Tool (MRT).
  16. Pirrit: Этот по какой-то причине тоже не замаскирован. Pirrit — это рекламное ПО для macOS, которое впервые появилось в 2016 году. Известно, что оно вставляет всплывающие рекламные объявления на веб-страницы, собирает личные данные браузера пользователя и даже манипулирует поисковой выдачей, чтобы перенаправить пользователей на вредоносные страницы.
  17. RankStank: «Это правило является одним из самых очевидных, поскольку оно включает пути к вредоносным исполняемым файлам, найденным в инциденте с 3CX», — говорит Олден. 3CX была атакой на цепочку поставок, приписываемой Lazarus Group.
  18. RedPine: С низкой степенью уверенности Олден заявляет, что RedPine, вероятно, является ответом на TriangleDB из Операции «Триангуляция» — одной из самых изощренных атак на iPhone за всю историю.
  19. RoachFlight: Не связано с летающими тараканами и, к сожалению, пока не идентифицировано исследователями.
  20. SheepSwap: Подобно SheepSwap, считается, что этот модуль нацелен на другие варианты постоянно меняющегося рекламного ПО Adload, согласно The Eclectic Light Company.
  21. ShowBeagle: Он нацелен на TraderTraitor, кампанию, связанную с Lazarus Group из Северной Кореи, которая атакует криптовалютные биржи и пользователей DeFi с помощью троянизированных торговых приложений.
  22. SnowDrift: Идентифицирован как шпионское ПО для macOS CloudMensis.
  23. ToyDrop: Подобно SheepSwap, считается, что этот модуль нацелен на другие варианты постоянно меняющегося рекламного ПО Adload.
  24. Trovi: Подобно Pirrit, Trovi — это еще один кроссплатформенный перехватчик браузера. Известно, что он перенаправляет результаты поиска, отслеживает историю просмотров и внедряет собственную рекламу в поиск.
  25. WaterNet: Идентифицирован как Proxit, троян-прокси, написанный на языке программирования Go, который превращает зараженные Mac в прокси-узлы для маршрутизации вредоносного трафика.

Спасибо за чтение! Если у вас есть информация о том, какие модули еще не идентифицированы, оставьте ее в комментариях или напишите мне приятное письмо на arin@9to5mac.com.

Подпишитесь на Арина: Twitter/X, LinkedIn, Threads