| 6 апр 2026 — 7:55 утра PT
9to5Mac Security Bite эксклюзивно представлен Mosyle, единственной универсальной платформой Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения для обеспечения безопасности, специфичные для Apple, для полностью автоматизированного усиления безопасности и соответствия требованиям, EDR нового поколения, нулевое доверие на основе ИИ и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. В результате получается полностью автоматизированная универсальная платформа Apple, которой в настоящее время доверяют более 45 000 организаций для беспрепятственной и доступной подготовки к работе миллионов устройств Apple. Запросите свой РАСШИРЕННЫЙ ПРОБНЫЙ ПЕРИОД сегодня и поймите, почему Mosyle — это все, что вам нужно для работы с Apple.
Ежегодно Jamf — популярная платформа управления устройствами Apple — выпускает свой отчет Security 360: Annual Trends Report, который дает широкий обзор угроз, с которыми сталкиваются macOS в настоящее время как предприятия, так и пользователи. Анализ использует анонимизированные реальные данные, собранные с более чем 1,4 миллиона Mac в 90 странах, на которых установлено программное обеспечение Jamf.
Теперь Jamf выпустила последнее издание, которое использует данные за предыдущие 12 месяцев в 2025 году. Отчет предлагает множество примечательных наблюдений о том, что они видят среди клиентов, и, что наиболее интересно, о полном доминировании троянского вредоносного ПО, которое даже превосходит лучшие перехватчики информации, увеличившись более чем на 33% с момента выхода отчета Jamf за 2024 год.
Основные выводы
- 50% всего вредоносного ПО, поразившего Mac, составили трояны, что на 33% больше, чем в 2024 году.
- 44% устройств, использующих Jamf, имели вредоносный сетевой трафик.
- 41% устройств имеют критически устаревшие операционные системы.
- 73% устройств имеют установленное как минимум одно уязвимое приложение.
Трояны взорвались, вытеснив перехватчики информации как основной тип
Начнем с самого главного вывода из последнего отчета Jamf 360: трояны. Этот конкретный тип вредоносного ПО вырос с 16,61% от общего числа обнаружений среди клиентов Jamf в 2024 году до 50,32% в 2025 году, что составляет огромный скачок более чем на 33 процентных пункта.
Доминирующий троян, Atomic Stealer (также известный как AMOS), составил 77,08% всей троянской активности. Ни один другой троянский вредоносный код даже близко не подошел. А доминирующий перехватчик информации? Опять же, Atomic Stealer — 78,49%. То, что одно и то же семейство вредоносных программ находится на вершине обеих категорий, абсолютно дико, и это не случайность. Все больше и больше перехватчиков информации используют троянские бэкдоры для обеспечения устойчивости, что сильно раздувает количество обнаружений троянов.
«Перехватчики информации часто являются первой ступенью в более крупных атаках», — заявляет Jamf. «Они могут удерживать данные в заложниках или использовать их для проникновения в другие учетные записи и системы. Эти функции делают перехватчики информации востребованным товаром для злоумышленников, поэтому многие разработчики предлагают их в качестве услуги. Современные перехватчики информации могут устанавливать бэкдор и обеспечивать устойчивость, позволяя им пережить перезагрузки и выходы из системы, а злоумышленникам — отправлять команды с C2.»
Следует уточнить, что, хотя все перехватчики информации технически действуют как трояны, маскируя себя, чтобы проникнуть на Mac жертв, не все трояны являются перехватчиками информации. Многие трояны пытаются обеспечить устойчивость в течение нескольких месяцев, скрываясь в фоновом режиме и устанавливая бэкдор-соединение для эксфильтрации файлов, загрузки дополнительного вредоносного кода или, что более вероятно в корпоративной среде, шифрования локальных файлов (программы-вымогатели).
Тем не менее, Atomic Stealer определенно стирает границы между двумя и не показывает признаков замедления.
Рекламное ПО и потенциально нежелательные приложения практически рухнули
Когда я освещал обнаружение рекламного ПО в отчете Jamf 360 за 2024 год, рекламное ПО составляло 28% всех обнаружений вредоносного ПО. В 2025 году оно рухнуло до всего лишь 5,06%. Фактически, общее количество потенциально нежелательных приложений (PUA) сократилось с 15,06% до 4,84%.
Раньше рекламное ПО шло в ногу с перехватчиками информации, а теперь это лишь примечание…
Это еще одно свидетельство того, что экономика вредоносного ПО продолжает смещаться в сторону кражи данных, а не доходов от рекламы.
Заметное новое вредоносное ПО
Наконец, в отчете также выделяются несколько новых семейств вредоносного ПО для Mac, обнаруженных Jamf Threat Labs за прошедший год, которые стоит упомянуть здесь.
Примерно в ноябре прошлого года был обнаружен DigitStealer — перехватчик информации на основе JXA, полностью необнаруженный на VirusTotal. Jamf обнаружил, что он использует некоторые продвинутые методы защиты от анализа, включая обнаружение оборудования, которое ограничивает выполнение только чипами Apple Silicon M2 или более новыми.
«Вредоносное ПО развертывает четыре резидентных в памяти полезных нагрузки, которые крадут данные браузера, криптовалютные кошельки и учетные данные, троянизируют Ledger Live, объединяя три отдельных компонента для уклонения от обнаружения, и обеспечивают устойчивость через динамический бэкдор», — сообщает Jamf.
Еще более свежим, чем DigitStealer, является MacSync Stealer, который, как выяснилось, вышел за пределы отчаянных приемов социальной инженерии с перетаскиванием в Terminal, которые мы видели ранее, и теперь развертывается через подписанные кодом и нотариально заверенные приложения Swift. Отсюда он может выполнять полезные нагрузки без вмешательства Terminal или даже предупреждения пользователя.
«Этот переход к подписанной и нотариально заверенной доставке отражает более широкую тенденцию, когда злоумышленники маскируют вредоносный код под законные приложения, чтобы уклониться от обнаружения и обойти средства контроля безопасности macOS», — говорит Jamf.
Полный отчет Jamf «Security 360: Annual Trends Report» можно найти здесь.
Следите за Арин Вайчулис: LinkedIn, Threads, X
Подпишитесь на подкаст 9to5Mac Security Bite для двухнедельных глубоких анализов и интервью с ведущими исследователями и экспертами по безопасности Apple: