Второй взлом macOS за три недели: новый вирус крадёт пароли и твой Mac может быть следующим

Миша Королев

Несколько недель назад Apple добавила в macOS Tahoe 26.4 полезную защиту: при вставке подозрительных команд в Терминал система показывает предупреждение и блокирует выполнение. Это было направлено против так называемых ClickFix-атак — сейчас это главный способ доставки вредоносного ПО на Mac. Но злоумышленники уже нашли способ обойти эту защиту, причём через другое встроенное приложение Apple.

Apple только добавила новую защиту, как ее уже обошли. Фото.

Apple только добавила новую защиту, как ее уже обошли

Что такое ClickFix и как через него вирусы заражают Mac

ClickFix — это не конкретный вирус, а способ доставки вредоносного кода. Суть приёма — обмануть пользователя, чтобы тот сам запустил вредоносную команду на своём компьютере. Обычно жертву убеждают скопировать текст с сайта и вставить его в Терминал под видом «исправления проблемы» или «очистки диска».

Что такое ClickFix и как через него вирусы заражают Mac. Смысл в том, чтобы заставить вас самих, по сути, запустить вирус на компьютере. Фото.

Смысл в том, чтобы заставить вас самих, по сути, запустить вирус на компьютере

По данным исследователей, в 2025 году ClickFix стал самым популярным механизмом заражения Mac. Причина проста: после выхода macOS Sequoia Apple усложнила запуск неподписанных программ — раньше можно было просто кликнуть правой кнопкой и обойти Gatekeeper, а теперь нужно заходить в настройки и вручную разрешать установку. Это ударило по поддельным установщикам, но ClickFix выжил, потому что не требует подписи и работает через команды, которые пользователь вводит сам. Самое забавное, что зафиксированы случаи, когда Apple сама пропускала приложения с вирусами в App Store. К счастью, компания это все быстро исправляла.

❗️ПОДПИСЫВАЙСЯ НА ТЕЛЕГРАМ-КАНАЛ СУНДУК АЛИБАБЫ. ТАМ КАЖДЫЙ ДЕНЬ ВЫХОДЯТ ПОДБОРКИ САМЫХ ЛУЧШИХ ТОВАРОВ С АЛИЭКСПРЕСС

Новая защита от вирусов в macOS 26.4

В обновлении macOS Tahoe 26.4, вышедшем 24 марта 2026 года, Apple добавила механизм, который анализирует вставляемые в Терминал команды. Если система считает команду подозрительной, она показывает предупреждение: «Возможно вредоносное ПО, вставка заблокирована» — и предлагает отменить действие или всё-таки вставить текст.

Это хорошая мера, но злоумышленники уже адаптировались — буквально за пару недель. Исследователи из Jamf Threat Labs обнаружили новый вариант ClickFix, который полностью обходит Терминал и его предупреждение.

❗️ПОДПИШИСЬ НА НАШ ЧАТИК В ТЕЛЕГРАМЕ. ТАМ ТЕБЕ ОТВЕТЯТ НА ЛЮБЫЕ ВОПРОСЫ

Как вирусы попадают на Mac через Script Editor

Вместо того чтобы просить пользователя копировать команды в Терминал, новая схема использует другое встроенное приложение — Script Editor (редактор скриптов AppleScript, также предустановлен на каждом Mac).

Механика атаки выглядит так:

  1. Жертва попадает на поддельную страницу, оформленную под Apple. Например, страница предлагает «освободить место на диске Mac».
    2. Как вирусы попадают на Mac через Script Editor. Вот так выглядит поддельная страница. Фото.

    Вот так выглядит поддельная страница

  2. На странице есть кнопка «Execute». При нажатии браузер вызывает специальную системную ссылку applescript://, которая открывает Script Editor с уже готовым скриптом.
  3. Пользователю остаётся нажать одну кнопку — и скрипт запускается.
    4. Как вирусы попадают на Mac через Script Editor. Соглашаетесь — и всё, вирус на компьютере. Фото.

    Соглашаетесь — и всё, вирус на компьютере

  4. Скрипт скачивает и устанавливает вредоносное ПО — чаще всего Atomic Stealer.

ПОДПИШИСЬ НА НАШ КАНАЛ В MAX НА СЛУЧАЙ, ЕСЛИ ТЕЛЕГРАМ НЕ БУДЕТ РАБОТАТЬ

Поскольку команда не попадает в Терминал, предупреждение macOS 26.4 просто не срабатывает. В Script Editor есть собственное предупреждение о «неизвестном разработчике», но если пользователь нажмёт «OK», скрипт выполнится.

Что такое Atomic Stealer и чем он опасен для Mac

Atomic Stealer (AMOS) — это не просто вирус, а коммерческий инструмент для кражи данных, который продаётся злоумышленникам по подписке. Его задача — за один запуск собрать с Mac максимум ценной информации.

Вот что он крадёт:

  • Пароли из связки ключей macOS (Keychain) — то есть практически все сохранённые пароли
  • Данные браузеров: сохранённые пароли, cookies, данные автозаполнения, номера банковских карт
  • Содержимое криптокошельков и расширений для криптовалют
  • Файлы с рабочего стола и из папки «Документы»
  • Системную информацию о компьютере

Всё украденное упаковывается в архив и отправляется на сервер злоумышленников. Новые версии Atomic Stealer также умеют устанавливать бэкдор — скрытый канал для повторного доступа к компьютеру.

Как защитить Mac от вирусов

Главное, что нужно понять: macOS не использует браузер для системного обслуживания. Если сайт предлагает «почистить диск» или «ускорить Mac» и при этом просит запустить скрипт, открыть Терминал или Script Editor — это всегда мошенничество.

Практические правила:

  • Если браузер просит разрешение открыть Script Editor или Терминал — не соглашайтесь. Это не нормальное поведение системы.
  • Не копируйте и не вставляйте команды с незнакомых сайтов ни в какое приложение.
  • Для очистки диска и обслуживания Mac используйте только встроенные «Системные настройки» и раздел «Хранилище».
    • Как защитить Mac от вирусов. Держите macOS всегда обновленной, это важно. Фото.

    Держите macOS всегда обновленной, это важно

  • Держите macOS обновлённой — несмотря на обход конкретной защиты, обновления всё равно закрывают другие уязвимости.
  • Используйте антивирусное ПО с защитой в реальном времени — оно может перехватить Atomic Stealer до того, как он начнёт работу.

Читайте также: Проблемы и отзывы об iOS 26.4.1: говорят, обновление окирпичивает iPhone

Обновление macOS 26.4 с защитой Терминала — это правильный шаг, но он закрывает только одну дверь. Злоумышленники уже нашли другую — через Script Editor. Ждать, что Apple закроет и её, можно, но надёжнее просто не нажимать на подозрительные кнопки на сайтах, которые обещают «починить» ваш Mac. Если сайт просит открыть любое системное приложение через браузер — закройте вкладку. Это правило работает против любого варианта ClickFix, текущего и будущего.

MacBook NeoMacOSБезопасность Apple
Новости по теме: MacBook Neo
5 моих знакомых купили MacBook Neo — и вот что из этого вышло. Фото.
5 моих знакомых купили MacBook Neo — и вот что из этого вышло
Цена MacBook Neo в России выросла на 10 тысяч. Похоже, дешёвых ноутбуков Apple больше не будет. Фото.
Цена MacBook Neo в России выросла на 10 тысяч. Похоже, дешёвых ноутбуков Apple больше не будет
Сделал Dock на Mac сбоку — почему так удобнее и как его переместить. Фото.
Сделал Dock на Mac сбоку — почему так удобнее и как его переместить