Les cybercriminels trouvent sans cesse de nouveaux moyens de piéger les utilisateurs pour les amener à compromettre leurs propres appareils et comptes. Une campagne a notamment utilisé une publicité sponsorisée sur X cibler Mac , tandis qu’une autre technique, baptisée « ConsentFix », permet de voler des comptes Microsoft 365 sans installer de logiciel malveillant.
X vérifié utilisé dans l'attaque « Mac »
Des chercheurs ont découvert une attaque de type « ClickFix » diffusée sous la forme d'une publicité sponsorisée sur X. Cette publicité avait été publiée depuis un compte certifié, ce qui conférait une crédibilité supplémentaire à cette arnaque.
Les campagnes ClickFix utilisent des leurres convaincants : autrefois, il s’agissait de fausses fenêtres de « vérification humaine » ; aujourd’hui, il s’agit d’un faux téléchargement de DynamicLake, un utilitaire macOS légitime qui transforme l’encoche de votre MacBook en une version non officielle mais fonctionnelle du Dynamic Island d’Apple. Ce type d’attaque nécessite que l’utilisateur colle une commande depuis le presse-papiers, ce qui la rend fortement dépendante de l’interaction de l’utilisateur.

Image fournie par Jamf
En réalité, les personnes qui ont cliqué sur le lien ont été redirigées vers le domaine similaire dynamicmacisland[.]com, où on leur a demandé d'ouvrir Terminal et de coller des commandes d'installation qui installaient en arrière-plan un logiciel malveillant.
Cette campagne combine trois tendances inquiétantes : des techniques d'ingénierie sociale de type « ClickFix » utilisant des commandes Terminal, des domaines ressemblants qui imitent Mac de confiance, et une infrastructure publicitaire payante utilisée pour étendre les attaques à un large public.
Ce logiciel malveillant diffuserait plusieurs variantes du programme de vol d'informations « Atomic Stealer ».
Ce schéma fait écho à des cas antérieurs où Google Ads avait fait la promotion de faux programmes d'installation de logiciels, notamment des annonces sponsorisées malveillantes qui diffusaient des logiciels malveillants lorsque les utilisateurs recherchaient des outils de développement fiables. La leçon à en tirer est claire : le référencement payant et les labels de vérification ne constituent pas une garantie de sécurité, en particulier lorsque les pirates conçoivent délibérément des campagnes destinées à contourner les filtres automatisés.
Cette campagne a exploité de manière abusive la plateforme publicitaire X, la publicité malveillante apparaissant sous un compte certifié. Les chercheurs ont signalé cette publicité à X ont contacté le titulaire du compte. La publicité semble avoir été supprimée depuis.
ConsentFix vole des comptes au lieu d'installer des logiciels malveillants
Windows sont également mis en garde contre la nouvelle génération d'attaques ClickFix, baptisée « ConsentFix ».
ConsentFix se distingue par le fait que, là où ClickFix fait de vous l'installateur, ConsentFix fait de vous le fournisseur d'identité. Au lieu de vous inciter par la ruse à exécuter un logiciel malveillant, il utilise l'ingénierie sociale pour vous amener à lui transmettre vos jetons de connexion au cloud via le navigateur, sans jamais vous demander d'exécuter un logiciel malveillant ni de saisir votre mot de passe.
« Cela peut commencer par un geste aussi banal que de glisser un lien dans votre navigateur. Trois secondes plus tard, un cybercriminel dispose des identifiants nécessaires pour prendre le contrôle de votre compte Microsoft 365, alors que vous n’avez rien fait qui aurait pu être signalé dans le cadre d’une formation classique à la sensibilisation à la sécurité. »
Par exemple, un e-mail de hameçonnage peut contenir un lien, souvent hébergé sur des plateformes de confiance telles que Dropbox. Il arrive parfois que ce lien soit protégé par un mot de passe, ce qui complique également son analyse par les outils de sécurité.
Si la victime clique sur le lien, elle verra s'afficher ce qui ressemble à une page de connexion Microsoft classique et sera invitée à terminer la procédure en faisant glisser un lien de rappel « localhost » dans le navigateur.

C'est à ce moment-là que le piège se referme. Sans s'en rendre compte, la victime transmet ses jetons de session à l'attaquant, lui donnant ainsi accès à sa messagerie électronique et à d'autres services Microsoft 365 sans qu'il ait besoin d'un mot de passe ni de passer par l'authentification multifactorielle (MFA).
Cette méthode aurait été diffusée sur un forum russe dédié à la cybercriminalité, ce qui permettrait même aux cybercriminels les moins expérimentés de pirater facilement des comptes Microsoft 365.
Comment rester en sécurité
La meilleure protection consiste à savoir que ces attaques existent et à savoir les repérer. Continuez donc à lire notre blog. Mais vous pouvez faire davantage :
- Ne faites pas confiance aux liens qui vous parviennent de manière inattendue, que ce soit par e-mail, SMS, sur les réseaux sociaux, voire via des comptes vérifiés ou des résultats de recherche sponsorisés.
- Réfléchissez bien avant de suivre des instructions qui vous semblent inhabituelles ou que vous ne comprenez pas tout à fait.
- Lorsque vous saisissez vos identifiants, vérifiez toujours l'adresse affichée dans la barre d'adresse du navigateur. Est-ce bien celle à laquelle vous vous attendiez ? Si ce n'est pas le cas, arrêtez-vous.
- Utilisez une solution anti-malware à jour, fonctionnant en temps réel et dotée d'une protection Web.
Conseil de pro : Saviez-vous que le logiciel gratuit Malwarebytes Browser Guard vous protège contre les sites web malveillants et les attaques ClickFix ? Elle bloque également les publicités et les traceurs, ce qui est un avantage supplémentaire.
Mettez fin aux menaces avant qu'elles ne causent du tort.
Malwarebytes Browser Guard automatiquement les pages de hameçonnage et les sites malveillants. Gratuit, s'installe en un clic. Ajoutez-le à votre navigateur →




