| 28 декабря 2025 г. — 6:27 PT
9to5Mac Security Bite эксклюзивно представлен Mosyle, единственной унифицированной платформой Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе самые современные решения для безопасности, специфичные для Apple, для полностью автоматизированного укрепления защиты и соответствия требованиям, EDR следующего поколения, основанное на ИИ управление нулевым доверием и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. В результате получается полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, чтобы с минимальными усилиями и по доступной цене сделать миллионы устройств Apple готовыми к работе. Запросите свой РАСШИРЕННЫЙ ПРОБНЫЙ ПЕРИОД сегодня и поймите, почему Mosyle — это все, что вам нужно для работы с Apple.
На прошлой неделе Jamf Threat Labs опубликовали исследование о еще одном варианте все более популярного семейства MacSync Stealer, привлекая внимание к растущей проблеме безопасности macOS: вредоносное ПО, которое обходит самые значимые сторонние защиты приложений Apple. Этот новый вариант распространялся внутри вредоносного приложения, которое было подписано кодом с действительным идентификатором разработчика и нотаризовано Apple, что означает, что Gatekeeper не имел причин блокировать его запуск.
Исторически модель Apple работала довольно хорошо. Приложения, распространяемые за пределами Mac App Store, должны быть криптографически подписаны и нотаризованы, чтобы открываться без необходимости для пользователей проходить множество сложных процедур. Но эта доверительная модель предполагает, что подпись доказывает благие намерения. Сейчас мы видим, что злоумышленники получают реальные сертификаты разработчиков и распространяют вредоносное ПО, которое на момент установки неотличимо от легитимного программного обеспечения.
Пообщавшись с несколькими людьми, знакомыми с ситуацией, мы выяснили, что киберпреступники достигают этого несколькими способами. Во многих случаях они используют комбинацию следующего:
Подписанные и нотаризованные вредоносные приложения могут работать с сертификатами Developer ID, которые были скомпрометированы или даже куплены через подпольные каналы, что значительно снижает подозрения. Как мы видели в отчете Jamf о новом варианте MacSync Stealer, начальный бинарный файл часто представляет собой относительно простой исполняемый файл на основе Swift, который выглядит безобидно при статической проверке Apple и сам по себе мало что делает.
Настоящее вредоносное поведение происходит позже, когда приложение связывается с удаленной инфраструктурой для получения дополнительных полезных нагрузок. Если эти полезные нагрузки недоступны во время нотаризации и активируются только в реальных условиях выполнения, у сканеров Apple нет вредоносных объектов для анализа. Процесс нотаризации оценивает то, что существует на момент подачи заявки, а не то, что приложение может получить после запуска, и злоумышленники явно обходят эти ограничения.
Первый случай вредоносного ПО, нотаризованного Apple, зафиксирован по крайней мере с 2020 года, обнаружен пользователем Twitter. Ранее в июле этого года был еще один случай аналогичного вредоносного приложения, подписанного и нотаризованного Apple. Достигло ли это критической точки? Скорее всего, нет. С одной стороны, я согласен, что даже один такой случай — это уже слишком много.
С другой стороны, я думаю, что винить здесь Apple слишком легко. Система в значительной степени работает так, как задумано. Подпись кода и нотаризация никогда не предназначались для гарантии того, что программное обеспечение вечно безвредно, а лишь для того, чтобы его можно было отследить до реального разработчика и отозвать при обнаружении злоупотреблений.
Это интригующий вектор атаки, и я продолжу отслеживать его в 2026 году.
В конечном счете, лучшая защита от вредоносного ПО — это загрузка программного обеспечения непосредственно от доверенных разработчиков или из Mac App Store.
Security Bite — это еженедельное погружение 9to5Mac в мир безопасности Apple. Каждую неделю Ар. Ваичулис анализирует новые угрозы, проблемы конфиденциальности, уязвимости и многое другое, формируя экосистему из более чем 2 миллиардов устройств.
FПодпишитесь на Ар.: Twitter/X, LinkedIn, Threads
