Geverifieerde X verspreidt Mac , terwijl ConsentFix Microsoft-accounts steelt

| 3 juli 2026
Volg de instructies van Clickfix

Cybercriminelen vinden steeds weer nieuwe manieren om mensen ertoe te verleiden hun eigen apparaten en accounts in gevaar te brengen. Bij één campagne werd gebruikgemaakt van een gesponsorde advertentie op X Mac te benaderen, terwijl bij een andere techniek, die de naam ConsentFix draagt, Microsoft 365-accounts worden gestolen zonder dat er malware wordt geïnstalleerd.

Geverifieerd X gebruikt bij de Mac ClickFix-aanval

Onderzoekers hebben een aanval in de stijl van ClickFix ontdekt die als gesponsorde advertentie op X werd weergegeven. De advertentie was geplaatst vanaf een geverifieerd account, wat de zwendel extra geloofwaardigheid gaf.

ClickFix-campagnes maken gebruik van overtuigende lokmiddelen: vroeger waren dat valse ‘menselijke verificatie’-schermen, en nu een valse download voor DynamicLake, een legitiem macOS-hulpprogramma dat de inkeping van je MacBook omzet in een onofficiële maar functionele versie van Apple’s Dynamic Island. Bij dit soort aanvallen moet de gebruiker een commando uit het klembord plakken, waardoor de aanval sterk afhankelijk is van interactie van de gebruiker.

Nepadvertentie voor DynamicLake

Afbeelding met dank aan Jamf

In werkelijkheid werden mensen die op de link klikten, doorgestuurd naar het gelijknamige domein dynamicmacisland[.]com, waar ze de instructie kregen om Terminal te openen en installatiecommando’s te plakken die stilletjes malware installeerden.

De campagne combineert drie zorgwekkende trends: social engineering in de stijl van ClickFix met behulp van Terminal-opdrachten, domeinnamen die lijken op die van vertrouwde Mac , en een infrastructuur voor betaalde advertenties die wordt gebruikt om aanvallen op een groot publiek uit te breiden.

De malware zou verschillende varianten van de Atomic Stealer -infostealer verspreiden.  

Dit patroon komt overeen met eerdere gevallen waarin Google Ads reclame maakte voor valse software-installatieprogramma’s, waaronder kwaadaardige gesponsorde advertenties die malware verspreidden wanneer gebruikers zochten naar betrouwbare ontwikkelaarstools. De les is duidelijk: betaalde plaatsingen en verificatiebadges bieden geen garantie voor veiligheid, vooral niet wanneer aanvallers hun campagnes bewust zo opzetten dat ze de geautomatiseerde screening omzeilen.

De campagne maakte misbruik van het advertentieplatform X, waarbij de kwaadaardige advertentie onder een geverifieerd account verscheen. De onderzoekers hebben de advertentie bij X gemeld X contact opgenomen met de accounteigenaar. De advertentie lijkt inmiddels te zijn verwijderd.

ConsentFix steelt accounts in plaats van malware te installeren

Windows worden ook gewaarschuwd voor de volgende generatie ClickFix-aanvallen, genaamd ConsentFix.

ConsentFix onderscheidt zich doordat ClickFix je tot installateur maakt, terwijl ConsentFix je tot identiteitsprovider maakt. In plaats van je ertoe te verleiden malware uit te voeren, maakt het gebruik van social engineering om je ertoe te brengen je inloggegevens voor de cloud via de browser af te geven, zonder je ooit te vragen malware uit te voeren of je wachtwoord in te voeren.

“Het kan beginnen met iets heel alledaags, zoals het slepen van een link naar je browser. Drie seconden later beschikt een cybercrimineel over de tokens die nodig zijn om je Microsoft 365-account over te nemen, en je hebt nooit iets gedaan wat in een traditionele bewustwordingstraining op het gebied van beveiliging als verdacht zou worden aangemerkt.”

Zo kan er bijvoorbeeld een phishing-e-mail binnenkomen met een link, die vaak op betrouwbare platforms zoals Dropbox wordt gehost. Soms is deze met een wachtwoord beveiligd, waardoor het voor beveiligingstools ook moeilijker wordt om deze te controleren.

Als de ontvanger op de link klikt, krijgt hij of zij een pagina te zien die eruitziet als een standaard aanmeldpagina van Microsoft, en wordt hij of zij gevraagd het proces te voltooien door een localhost-callback-link naar de browser te slepen.

Hoe de ConsentFix-valstrik eruitziet
Hoe de ConsentFix-valstrik eruitziet

Op dat moment slaat de val dicht. Zonder het te beseffen, geeft het slachtoffer sessietokens aan de aanvaller, waardoor deze toegang krijgt tot e-mail en andere Microsoft 365-diensten zonder dat daarvoor een wachtwoord nodig is of dat er meervoudige authenticatie (MFA) moet worden doorlopen.

De methode zou op een Russisch cybercriminaliteitsforum zijn gedeeld, waardoor het zelfs voor minder ervaren cybercriminelen vrij eenvoudig is om Microsoft 365-accounts te stelen.

Hoe blijf ik veilig

De beste bescherming is te weten dat deze aanvallen bestaan en te herkennen hoe ze eruitzien. Blijf onze blog dus volgen. Maar je kunt nog meer doen:

  • Vertrouw geen links die je onverwachts ontvangt – of dat nu via e-mail, sms, sociale media is, of zelfs via geverifieerde accounts of gesponsorde zoekresultaten.
  • Denk goed na voordat je instructies opvolgt die ongebruikelijk lijken of die je niet helemaal begrijpt.
  • Controleer bij het invoeren van inloggegevens altijd het adres in de adresbalk van de browser. Is dat het adres dat je verwachtte? Zo niet, stop dan.
  • Gebruik een up-to-date, realtime anti-malwareoplossing met webbeveiliging.

Pro-tip: Wist je dat de gratis Malwarebytes Browser Guard je extensie tegen kwaadaardige websites en ClickFix-aanvallen? Het blokkeert ook advertenties en trackers, dus dat is mooi meegenomen.


Voorkom bedreigingen voordat ze schade kunnen aanrichten.

Malwarebytes Browser Guard automatisch phishingpagina’s en schadelijke websites. Gratis en met één klik te installeren. Voeg het toe aan je browser →

Over de auteur

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.