Платформ Jamf, специализирующаяся на управлении устройствами в экосистеме Apple, представила свежий выпуск аналитического отчёта Security 360: Annual Trends Report. Исследование базируется на анонимизированных данных, собранных за 2025 год с более чем 1,4 миллиона компьютеров Mac в 90 странах мира. Главный вывод аналитиков: ландшафт угроз для macOS кардинально изменился за последние двенадцать месяцев.
Распространение троянов и доминирование Atomic Stealer
В 2024 году на долю троянов приходилось лишь 16,61% от общего числа обнаруженных угроз среди клиентов Jamf. Однако в 2025 году этот показатель взлетел до 50,32% — рост составил более 33 процентных пунктов.
Безоговорочным лидером среди вредоносного ПО стал Atomic Stealer (также известный как AMOS). На его долю пришлось 77,08% всей троянской активности и 78,49% активности так называемых инфостилеров (программ для кражи данных). Подобное совпадение неслучайно: грань между этими двумя категориями стремительно стирается. Современные инфостилеры всё чаще используют троянские бэкдоры для закрепления в системе. Это позволяет им переживать перезагрузку компьютера, выход из учётной записи и беспрепятственно получать команды от управляющих серверов злоумышленников.
Как отмечают в Jamf, инфостилеры зачастую становятся лишь первым этапом более масштабной атаки. Украденная информация используется для вымогательства или проникновения в корпоративные сети, что делает подобные вирусы крайне востребованным товаром на теневом рынке.
Закат рекламного ПО
На фоне роста числа троянов классическое рекламное ПО (Adware) и потенциально нежелательные приложения (PUA) стремительно теряют актуальность. Если в отчёте за 2024 год на рекламные вирусы приходилось 28% всех заражений, то в 2025 году эта цифра рухнула до 5,06%. Доля потенциально нежелательных программ также сократилась с 15,06% до 4,84%.
Эксперты подчёркивают, что теневая экономика вирусописателей окончательно сместила фокус: прямая кража пользовательских и корпоративных данных сегодня приносит злоумышленникам гораздо больше выгоды, чем генерация сомнительного рекламного трафика.
Уязвимость самих пользователей
Несмотря на совершенствование защитных механизмов macOS, халатное отношение к обновлениям остаётся серьёзной проблемой безопасности. Статистика Jamf демонстрирует тревожные показатели:
- У 73% проверенных устройств установлено как минимум одно приложение с известными уязвимостями.
- 44% компьютеров генерировали подозрительный или откровенно вредоносный сетевой трафик.
- 41% устройств работают на критически устаревших версиях операционной системы.
В отчёте также выделены новые семейства вредоносного ПО, обнаруженные лабораторией Jamf Threat Labs за прошедший год. Их объединяет возросший уровень технической сложности и узкая специализация.
В ноябре прошлого года аналитики выявили DigitStealer — инфостилер, написанный на JavaScript for Automation (JXA). Он оставался абсолютно незаметным для популярного антивирусного сервиса VirusTotal. Программа использует продвинутые методы обхода анализа, включая аппаратную проверку: вирус запускается исключительно на компьютерах с процессорами Apple Silicon поколения M2 и новее. DigitStealer крадёт данные браузеров, криптовалютные кошельки и учётные данные, а также модифицирует приложение Ledger Live, объединяя три отдельных компонента для скрытной работы и создания динамического бэкдора.
Ещё более свежая угроза — MacSync Stealer. Этот вирус свидетельствует об отказе хакеров от примитивной социальной инженерии, когда жертву обманом заставляли вручную перетаскивать вредоносные файлы в «Терминал». Теперь злоумышленники распространяют вредоносный код под видом подписанных и нотариально заверенных Apple приложений, написанных на языке Swift. Это позволяет вирусу выполнять свои задачи без какого-либо взаимодействия с «Терминалом» и без вывода предупреждающих окон для пользователя.
По мнению аналитиков Jamf, маскировка вредоносного кода под легитимный софт для обхода встроенных средств защиты macOS становится ключевым трендом среди разработчиков вирусов для устройств Apple.
