Os cibercriminosos estão encontrando novas maneiras de induzir as pessoas a comprometerem seus próprios dispositivos e contas. Uma campanha utilizou um anúncio patrocinado no X atingir Mac , enquanto outra técnica, chamada de ConsentFix, rouba contas do Microsoft 365 sem instalar malware.
X verificada X usada no ataque Mac
Pesquisadores descobriram um ataque do tipo ClickFix sendo veiculado como um anúncio patrocinado no X. O anúncio foi publicado a partir de uma conta verificada, o que conferiu uma camada extra de credibilidade ao golpe.
As campanhas do ClickFix utilizam iscas convincentes — historicamente, telas falsas de “verificação humana” e, agora, um download falso do DynamicLake, um utilitário legítimo para macOS que transforma o entalhe do seu MacBook em uma versão não oficial, mas funcional, do Dynamic Island da Apple. Esse tipo de ataque exige que o usuário cole um comando da área de transferência, o que o torna fortemente dependente da interação do usuário.

Imagem cortesia da Jamf
Na verdade, as pessoas que clicaram no link foram redirecionadas para o domínio semelhante dynamicmacisland[.]com, onde receberam instruções para abrir o Terminal e colar comandos de instalação que instalavam malware sem que o usuário percebesse.
A campanha combina três tendências preocupantes: engenharia social no estilo ClickFix por meio de comandos do Terminal, domínios falsos que imitam Mac confiáveis Mac e uma infraestrutura de publicidade paga usada para ampliar o alcance dos ataques a um grande público.
Segundo relatos, o malware distribui várias variantes do infostealer Atomic Stealer.
Esse padrão reflete casos anteriores em que o Google Ads promoveu instaladores falsos de software, incluindo anúncios patrocinados maliciosos que distribuíam malware quando os usuários pesquisavam por ferramentas de desenvolvimento confiáveis. A lição é clara: a veiculação paga e os selos de verificação não são garantia de segurança, especialmente quando os invasores criam campanhas deliberadamente para burlar a triagem automatizada.
A campanha fez uso indevido da plataforma de publicidade X, com o anúncio malicioso sendo exibido em uma conta verificada. Os pesquisadores denunciaram o anúncio ao X entraram em contato com o titular da conta. Parece que o anúncio já foi removido.
O ConsentFix rouba contas em vez de instalar malware
Windows também estão sendo alertados sobre a próxima geração de ataques do tipo ClickFix, chamada ConsentFix.
O ConsentFix é diferente porque, enquanto o ClickFix transforma você no instalador, o ConsentFix transforma você no provedor de identidade. Em vez de induzi-lo a executar malware, ele usa engenharia social para fazer com que você forneça seus tokens de login na nuvem pelo navegador, sem nunca pedir que você execute malware ou digite sua senha.
“Tudo pode começar com algo tão simples quanto arrastar um link para o seu navegador. Três segundos depois, um invasor já tem os tokens necessários para assumir o controle da sua conta do Microsoft 365, e você nem sequer fez nada que um treinamento tradicional de conscientização sobre segurança teria sinalizado.”
Por exemplo, pode chegar um e-mail de phishing contendo um link, muitas vezes hospedado em plataformas confiáveis, como o Dropbox. Às vezes, ele está protegido por uma senha, o que também dificulta a análise por parte das ferramentas de segurança.
Se o destinatário clicar no link, ele verá o que parece ser uma página padrão de login da Microsoft e será solicitado a concluir o processo arrastando um link de retorno do localhost para o navegador.

É nesse momento que a armadilha se fecha. Sem perceber, a vítima entrega os tokens de sessão ao invasor, dando a ele acesso ao e-mail e a outros serviços do Microsoft 365 sem a necessidade de uma senha ou de concluir a autenticação multifatorial (MFA).
Segundo relatos, o método foi divulgado em um fórum russo de cibercrime, facilitando bastante que cibercriminosos menos experientes roubem contas do Microsoft 365.
Como se manter seguro
A melhor proteção é saber que esses ataques existem e saber identificá-los. Por isso, continue acompanhando nosso blog. Mas há mais coisas que você pode fazer:
- Não confie em links que chegam inesperadamente — seja por e-mail, mensagem de texto, redes sociais ou mesmo por meio de contas verificadas ou resultados de busca patrocinados.
- Pense bem antes de seguir instruções que pareçam incomuns ou que você não compreenda totalmente.
- Ao preencher suas credenciais, sempre verifique o endereço na barra do navegador. É esse mesmo que você esperava? Se não for, pare.
- Utilize uma solução antimalware atualizada e em tempo real, com proteção na web.
Dica profissional: Você sabia que o Malwarebytes gratuito Malwarebytes Browser Guard protege você contra sites maliciosos e ataques do ClickFix? Ela também bloqueia anúncios e rastreadores, o que é um bônus.
Impedir que as ameaças causem qualquer dano.
Browser Guard Malwarebytes Browser Guard páginas de phishing e sites maliciosos automaticamente. É gratuito e se instala com um clique. Adicione-o ao seu navegador →




