Os cibercriminosos estão a encontrar novas formas de induzir as pessoas a comprometerem os seus próprios dispositivos e contas. Uma campanha utilizou um anúncio patrocinado no X visar Mac , enquanto outra técnica, apelidada de ConsentFix, rouba contas do Microsoft 365 sem instalar malware.
X verificada X utilizada no ataque Mac
Os investigadores descobriram um ataque do tipo ClickFix a ser executado sob a forma de um anúncio patrocinado na X. O anúncio foi publicado a partir de uma conta verificada, o que conferiu uma maior credibilidade ao esquema fraudulento.
As campanhas do ClickFix utilizam iscos convincentes — historicamente, ecrãs falsos de «verificação humana» e, agora, um download falso do DynamicLake, um utilitário legítimo para o macOS que transforma o entalhe do MacBook numa versão não oficial, mas funcional, do Dynamic Island da Apple. Este tipo de ataque exige que o utilizador cole um comando da área de transferência, o que o torna fortemente dependente da interação do utilizador.

Imagem cedida pela Jamf
Na realidade, as pessoas que clicaram na ligação foram redirecionadas para o domínio semelhante dynamicmacisland[.]com, onde lhes foi pedido que abrissem o Terminal e colassem comandos de instalação que instalavam malware de forma silenciosa.
A campanha combina três tendências preocupantes: engenharia social ao estilo do ClickFix, recorrendo a comandos do Terminal; domínios falsos que imitam Mac de confiança Mac ; e uma infraestrutura de publicidade paga utilizada para alargar os ataques a um público alargado.
Segundo consta, o malware distribui várias variantes do infostealer «Atomic Stealer ».
Este padrão reflete casos anteriores em que o Google Ads promoveu instaladores de software falsos, incluindo anúncios patrocinados maliciosos que distribuíam malware quando os utilizadores pesquisavam por ferramentas de desenvolvimento de confiança. A lição é clara: a colocação paga e os selos de verificação não são garantia de segurança, especialmente quando os atacantes concebem deliberadamente campanhas para contornar os sistemas de filtragem automatizados.
A campanha fez uso indevido da plataforma publicitária X, tendo o anúncio malicioso aparecido numa conta verificada. Os investigadores comunicaram o anúncio ao X contactaram o titular da conta. Ao que parece, o anúncio já foi removido.
O ConsentFix rouba contas em vez de instalar malware
Windows estão também a ser alertados para a próxima geração de ataques ClickFix, denominada ConsentFix.
O ConsentFix é diferente porque, enquanto o ClickFix transforma o utilizador num instalador, o ConsentFix transforma-o num fornecedor de identidade. Em vez de o induzir a executar malware, recorre à engenharia social para o levar a fornecer os seus tokens de início de sessão na nuvem através do navegador, sem nunca lhe pedir que execute malware ou introduza a sua palavra-passe.
«Pode começar com algo tão banal como arrastar um link para o seu navegador. Três segundos depois, um cibercriminoso já tem os tokens necessários para assumir o controlo da sua conta do Microsoft 365, e você nunca fez nada que um formação tradicional de sensibilização para a segurança tivesse assinalado.»
Por exemplo, pode chegar um e-mail de phishing que contenha um link, muitas vezes alojado em plataformas de confiança, como o Dropbox. Por vezes, esse link está protegido por uma palavra-passe, o que também dificulta a sua análise por parte das ferramentas de segurança.
Se o destinatário clicar na ligação, irá ver o que parece ser uma página de início de sessão normal da Microsoft e ser-lhe-á pedido que conclua o processo arrastando uma ligação de retorno do localhost para o navegador.

É nesse momento que a armadilha se fecha. Sem se aperceber, a vítima entrega os tokens de sessão ao atacante, concedendo-lhe acesso ao e-mail e a outros serviços do Microsoft 365 sem necessidade de introduzir uma palavra-passe ou de concluir a autenticação multifator (MFA).
Segundo consta, o método foi partilhado num fórum russo dedicado ao cibercrime, o que facilita bastante a tarefa de cibercriminosos menos experientes que pretendam roubar contas do Microsoft 365.
Como se manter seguro
A melhor proteção é saber que estes ataques existem e reconhecer como se apresentam. Por isso, continue a ler o nosso blogue. Mas há mais coisas que pode fazer:
- Não confie em links que surgem inesperadamente — seja por e-mail, mensagem de texto, redes sociais ou mesmo através de contas verificadas ou resultados de pesquisa patrocinados.
- Pense bem antes de seguir instruções que pareçam invulgares ou que não compreenda totalmente.
- Ao introduzir as credenciais, verifique sempre o endereço na barra do navegador. É esse que esperava? Se não for, pare.
- Utilize uma solução antimalware atualizada e em tempo real, com proteção na Web.
Dica de profissional: Sabias que o Malwarebytes gratuito Malwarebytes Browser Guard protege-o contra sites maliciosos e ataques do ClickFix? Além disso, bloqueia anúncios e rastreadores, o que é uma vantagem adicional.
Impedir as ameaças antes que causem qualquer dano.
Browser Guard Malwarebytes Browser Guard automaticamente páginas de phishing e sites maliciosos. É gratuito e instala-se com um clique. Adicione-o ao seu navegador →




