«Дірки» в безпеці Apple? Кіберфахівець показав витік даних із Mac

Український спеціаліст із кібербезпеки заявив, що у злитих наборах даних, зібраних інфостілерами з комп’ютерів Apple, він побачив не лише звичні паролі з браузерів, а й записи із macOS Keychain (системної «зв’язки ключів») — наприклад, елементи на кшталт Safari Forms AutoFill Encryption Key, TelephonyUtilities, AppleIDClientIdentifier тощо. За його словами, це свідчить про масові компрометації Mac на різних версіях системи (від Ventura/13 до Sequoia/15), а джерелами зараження часто є піратський софт, «кряки», підроблені інсталятори та навіть сценарії з QR-кодами. Наш аналіз показує: так, інфостілери по macOS — реальна й зростаюча загроза, здатна діставатися до Keychain, але зазвичай через дії користувача (соціальна інженерія, запуск шкідливих інсталяторів, введення пароля) і попри наявні захисти Apple.

Що саме стверджує фахівець

• У «злиттях» видно системну інформацію, журнали й дампи збережених облікових даних, у т.ч. з різних браузерів (Safari, Chrome, Firefox, Edge, Opera, Yandex) і записів System/Local Keychain.
• Шлях зараження часто простежується: троянські інсталятори популярних програм, піратські пакети й «короткі посилання» на серверах у РФ; іноді жертву зводять на підробні сторінки з динамічними QR-кодами, які просять «підтвердити» дію зі смартфона.
  Такі патерни повністю збігаються з тим, як працюють сучасні інфостілери по macOS.

Контекст: як реально крадуть із macOS сьогодні

• Інфостілери по macOS на підйомі. Дослідження Palo Alto Networks (Unit 42) і Malwarebytes фіксують різкий ріст атак та три найпоширеніші родини: Atomic/AMOS, Poseidon, Cthulhu. Вони тиражуються як «malware-as-a-service», маскуються під інсталятори легітимних програм і орієнтовані саме на крадіжку паролів, cookies, токенів, гаманців і файлів.
• Доступ до Keychain — можливий. Ті ж AMOS/Poseidon часто показують правдоподібне системне вікно й виманюють у користувача пароль. Маючи його, шкідник може читати вміст Keychain через офіційні API/утиліти — звідси й записи на кшталт Safari Forms AutoFill Encryption Key, Chrome Safe Storage, VPN-секрети тощо. Це не «магічний бектор», а соціальна інженерія + зловмисний код.
• Шляхи доставки. Крім піратського софту й «кряків», у 2025-му набирають обертів браузерні редиректи (ClickFix-подібні кампанії) та QR-кодові фішинги («quishing») — їх уже офіційно попереджає FBI.

А як же вбудований захист Apple?

Apple справді вибудовує три шари захисту (Gatekeeper/нотаризація, XProtect, XProtect Remediator), які блокують і видаляють відомі зразки. Компанія регулярно латає вразливості в macOS Sequoia 15.x (оновлення 15.5 у травні та 15.6 у липні 2025 року закривали десятки CVE). Проте ані один вендор не може захистити від користувача, який вручну запускає підроблений інсталятор і вводить свій пароль.

Висновок редакції

Теза «Apple неможливо зламати» — міф. Mac — не менш приваблива ціль, а сучасні інфостілери йдуть саме на людський фактор: підсовують правдоподібні апдейти, пакети з відомими назвами, діалоги доступу до Keychain. У наданих прикладах присутність ключових записів Keychain радше свідчить, що жертви самі підтвердили доступ, а не про «вбудований бекдор». Це дірки в опорі на маркетингові уявлення, а не «чарівний» злам системи.

Що робити користувачам Mac (практичний мінімум)

1. Оновлюйтесь негайно до останньої версії macOS Sequoia 15.x та Safari; встановлюйте Rapid Security Response, якщо пропонується.
2. Жодних кряків/піратки й «інсталяторів із форумів/телеграму». Беріть софт лише з App Store або офіційних сайтів. Пильнуйте попередження Gatekeeper.
3. Не вводьте пароль, якщо не впевнені, що діалог — від системи/довіреної програми саме в момент, коли це логічно. Якщо сумніваєтесь — «Скасувати» і перевірте джерело. (Саме виманювання пароля — головний трюк AMOS/Poseidon.)
4. Остерігайтесь QR-кодів з пакунків, постерів, «верифікаційних» листів; краще набирайте адресу вручну.
5. Увімкніть FileVault, перейдіть на неадмінський акаунт для щоденної роботи, використовуйте 2FA/Passkeys і окремий менеджер паролів; регулярно перевіряйте, чи не з’явились невідомі логіни/сесії.