Український фахівець із кібербезпеки проаналізував набори викрадених даних і побачив, що з комп’ютерів Apple зловмисники забирають не лише паролі з браузерів, а й записи з macOS Keychain — вбудованого «сейфа» для паролів і ключів. Це означає не «містичний злам» усієї системи, а масові успішні атаки, у яких ключову роль відіграє сам користувач: встановлення піратського софту, запуск підроблених інсталяторів, сканування сумнівних QR-кодів і введення пароля на вимогу шкідливої програми.
У злитих архівах зі зламаних комп’ютерів експерт побачив:
- системні відомості про Mac (версія macOS від Ventura/13 до Sequoia/15);
- логіни й паролі з різних браузерів (Safari, Chrome, Firefox, Edge, Opera, Yandex);
- записи з Keychain на кшталт Safari Forms AutoFill Encryption Key, TelephonyUtilities, AppleIDClientIdentifier тощо.
Інакше кажучи, на заражених комп’ютерах зловмисники отримували доступ і до «сейфа» з важливими даними.
Як це працює на практиці
- Шкідливі інсталятори та «кряки». Користувач завантажує «безкоштовну» версію програми чи оновлення не з офіційного джерела. Після запуску з’являється правдоподібне вікно, яке просить системний пароль «для встановлення» — людина вводить його, і програма отримує потрібні дозволи.
- QR-код-шахрайство. Користувача просять відсканувати QR-код «для підтвердження дії». Переходячи за посиланням і виконуючи інструкції, людина сама допомагає зловмиснику встановити шкідливе ПЗ.
- Після цього інфостілер збирає збережені паролі, файли cookie, токени доступу, журнали браузера й може зчитати частину записів із Keychain.
У macOS є кілька рівнів захисту — перевірка програм перед запуском, вбудований антивірус і регулярні оновлення безпеки. Вони справді знижують ризики. Але жодна система не захистить від дій користувача, якщо той сам запускає сумнівні файли й вводить свій пароль. Саме тому поява записів із Keychain у викрадених наборах даних найчастіше свідчить не про «вбудовану дірку», а про успішну соціальну інженерію.
За останні роки по macOS активно поширюються так звані інфостілери — програми, які спеціально полюють на паролі, токени та файли. Вони маскуються під корисні інструменти, продаються «як сервіс» у даркнеті та постійно оновлюються. Тобто Mac давно став привабливою ціллю — не меншою, ніж Windows чи Android.
Міф «Mac неможливо зламати» не працює. Компрометації трапляються масово, і головна причина — людський фактор. Сильні сторони Apple допомагають, але не скасовують базових правил гігієни безпеки.
Що робити прямо зараз
- Оновіться до останньої версії macOS і Safari. Встановлюйте всі патчі безпеки.
- Ставте програми лише з App Store або офіційних сайтів розробників. Жодних «кряків» і «безкоштовних» збірок.
- Не вводьте пароль, якщо не впевнені, навіщо програма його просить. Краще натисніть «Скасувати» і перевірте джерело.
- Остерігайтеся QR-кодів у підозрілих листах/постах. Адреси сайтів краще набирати вручну.
- Увімкніть FileVault, працюйте у звичайному (не адмінському) обліковому записі, користуйтеся 2FA/Passkeys і менеджером паролів.
- Перевірте активні сесії/логіни у ваших сервісах і за потреби змініть паролі.
Це базовий набір кроків, який різко знижує ризики — навіть якщо зловмисники націлені саме на ваш Mac.
Джерело: ВІСНИК
