Останніми тижнями адміністратори Mac обговорюють звіт від Netskope Threat Labs про нову кампанію ClickFix для macOS. Ця кампанія є вражаючим (і лякаючим) прикладом соціальної інженерії, яка підкреслює, чому традиційне 90-денне відтермінування оновлень програмного забезпечення потрібно скасувати.
ClickFix – це тактика, коли зловмисники вводять користувачів в оману, змушуючи їх копіювати та вставляти шкідливий скрипт безпосередньо в додаток Terminal. Вони досягають цього за допомогою фальшивих екранів CAPTCHA або фальшивих сповіщень про оновлення браузера. Після того, як користувач вставляє та запускає скрипт, з’являється діалогове вікно AppleScript, яке виглядає точно як рідне системне запитання macOS.
Цей запит вимагає пароль користувача і безкінечно повторюється, поки користувач не введе його. Немає кнопки закриття. Після захоплення пароля шкідливе ПЗ викрадає всю базу даних Keychain macOS, а також активні сесійні куки з браузерів, таких як Safari та Chrome. Викрадення активних сесійних куків є найбільшою вигодою, оскільки це дозволяє зловмисникам обійти багатофакторну аутентифікацію.
Чому відтермінування оновлень є ризиком
Apple вже бореться з цим типом атаки. У macOS Sequoia та macOS Tahoe 26.4 Apple впровадила попередження про безпеку Terminal. Ця функція спеціально перешкоджає атакам ClickFix, попереджаючи користувачів, коли вони намагаються вставити шкідливі команди з ненадійного джерела в Terminal.
Це підводить мене до основної думки. Історично Apple дозволяла адміністраторам IT відтерміновувати оновлення macOS до 90 днів за допомогою своєї платформи управління пристроями. Протягом багатьох років це вважалося кращою практикою в IT. Це давало командам час для тестування внутрішніх додатків, перевірки сумісності та забезпечення плавного впровадження.
Однак загрози в епоху штучного інтелекту змінюються занадто швидко для тримісячної затримки. Якщо ваша організація відтерміновує оновлення на максимальний термін 90 днів, ваші користувачі пропускають критично важливі заходи безпеки, такі як нове попередження про вставку в Terminal. Протягом трьох місяців ваші співробітники вразливі до атак соціальної інженерії, які операційна система могла б легко заблокувати, якби вона була просто оновлена.
Думка 9to5Mac
Можливо, настав час Apple переглянути управлінську структуру та формально зменшити максимальний термін відтермінування оновлень програмного забезпечення з 90 днів до 45-30 днів. Реальність така, що якщо постачальник програмного забезпечення не оновив свій корпоративний додаток для підтримки нової версії macOS протягом 30 днів після випуску, у вас проблема з постачальником, а не з Apple.
Навіть якщо Apple залишить можливість 90-денного відтермінування доступною назавжди, команди IT повинні вручну посилити свої внутрішні політики. Встановлення максимального терміну відтермінування в 30 днів забезпечує ідеальний баланс між тестуванням сумісності додатків і захистом корпоративних даних від нових загроз. Ви просто не можете дозволити собі залишити свій флот вразливим протягом чверті року.
Цікавий факт
Згідно з дослідженнями, близько 90% зловмисних програм для macOS використовують соціальну інженерію для обману користувачів.
