Проверенная X распространяет Mac , а ConsentFix похищает учетные записи Microsoft

| 3 июля 2026 года
Следуйте инструкциям Clickfix

Киберпреступники находят новые способы обманом заставить людей подвергнуть риску свои устройства и учетные записи. В рамках одной из кампаний X атак на Mac использовалась спонсируемая реклама в X , а другой метод, получивший название ConsentFix, позволяет похищать учетные записи Microsoft 365 без установки вредоносного ПО.

Проверенный X , использованный в атаке Mac

Исследователи обнаружили атаку типа ClickFix, реализованную в виде спонсируемой рекламы в X. Реклама была размещена с подтверждённого аккаунта, что придавало мошенничеству дополнительную достоверность.

В кампаниях ClickFix используются убедительные приманки — раньше это были поддельные экраны «верификации человеком», а теперь — поддельный файл для загрузки DynamicLake, легитимной утилиты для macOS, которая превращает вырез на экране MacBook в неофициальную, но функциональную версию Dynamic Island от Apple. Этот тип атаки требует от пользователя вставки команды из буфера обмена, поэтому в значительной степени зависит от действий пользователя.

Поддельная реклама DynamicLake

Изображение предоставлено компанией Jamf

На самом деле пользователи, перешедшие по ссылке, попадали на похожий домен dynamicmacisland[.]com, где им было предложено открыть «Терминал» и ввести команды установки, которые незаметно устанавливали вредоносное ПО.

Эта кампания сочетает в себе три тревожные тенденции: социальную инженерию по типу ClickFix с использованием команд терминала, домены-двойники, имитирующие надежные Mac , а также инфраструктуру платной рекламы, используемую для расширения масштабов атак и охвата широкой аудитории.

По имеющимся данным, это вредоносное ПО распространяет несколько вариантов программы-крадец данных Atomic Stealer.  

Эта схема повторяет предыдущие случаи, когда в Google Ads рекламировались поддельные установщики программного обеспечения, в том числе вредоносные спонсируемые объявления, которые загружали вредоносное ПО, когда пользователи искали надежные инструменты для разработчиков. Вывод очевиден: платное размещение и значки подтверждения не являются гарантией безопасности, особенно когда злоумышленники специально разрабатывают рекламные кампании так, чтобы обойти автоматическую проверку.

В ходе этой кампании была допущена злоупотребление рекламной платформой X: вредоносная реклама появлялась под проверенным аккаунтом. Исследователи сообщили о данной рекламе администрации X связались с владельцем аккаунта. Судя по всему, реклама впоследствии была удалена.

ConsentFix крадет учетные данные вместо того, чтобы устанавливать вредоносное ПО

Windows также предупреждают о появлении нового поколения атак ClickFix, получивших название ConsentFix.

ConsentFix отличается тем, что, в то время как ClickFix превращает вас в установщика, ConsentFix превращает вас в поставщика идентификации. Вместо того чтобы обманом заставить вас запустить вредоносное ПО, он использует методы социальной инженерии, чтобы побудить вас передать свои токены доступа к облачным сервисам через браузер, при этом ни разу не прося вас запустить вредоносное ПО или ввести пароль.

«Всё может начаться с чего-то столь обыденного, как перетаскивание ссылки в браузер. Спустя три секунды злоумышленник уже располагает токенами, необходимыми для взлома вашей учетной записи Microsoft 365, при этом вы не сделали ничего такого, что было бы отмечено в рамках традиционного обучения по вопросам информационной безопасности».

Например, может поступить фишинговое письмо, содержащее ссылку, которая зачастую размещена на надежных платформах, таких как Dropbox. Иногда она защищена паролем, что также затрудняет её проверку средствами безопасности.

Если получатель нажмёт на ссылку, он увидит страницу, похожую на стандартную страницу входа в систему Microsoft, и ему будет предложено завершить процесс, перетащив ссылку обратного вызова localhost в браузер.

Как выглядит ловушка ConsentFix
Как выглядит ловушка ConsentFix

Именно в этот момент ловушка захлопывается. Не подозревая об этом, жертва передает злоумышленнику токены сеанса, предоставляя ему доступ к электронной почте и другим сервисам Microsoft 365 без необходимости ввода пароля или прохождения многофакторной аутентификации (MFA).

По имеющимся данным, этот метод был опубликован на одном из российских форумов киберпреступников, что позволяет даже малоопытным киберпреступникам достаточно легко взламывать учетные записи Microsoft 365.

Как оставаться в безопасности

Лучшая защита — это осознание того, что такие атаки существуют, и умение распознавать их признаки. Поэтому продолжайте читать наш блог. Но вы можете сделать и больше:

  • Не доверяйте ссылкам, которые появляются неожиданно — будь то по электронной почте, в SMS-сообщениях, в социальных сетях или даже в сообщениях от проверенных аккаунтов или в спонсируемых результатах поиска.
  • Прежде чем следовать инструкциям, которые кажутся вам необычными или которые вы не до конца понимаете, тщательно всё обдумайте.
  • При вводе учетных данных всегда проверяйте адрес в адресной строке браузера. Это тот адрес, который вы ожидали увидеть? Если нет, остановитесь.
  • Используйте актуальное антивирусное решение с защитой в режиме реального времени и функцией защиты в Интернете.

Совет от профессионала: знаете ли вы, что бесплатная программа Malwarebytes Browser Guard защищает вас от вредоносных сайтов и атак ClickFix? Кроме того, оно блокирует рекламу и трекеры, что является дополнительным преимуществом.


Пресекайте угрозы, пока они не нанесли ущерб.

Malwarebytes Browser Guard автоматическиBrowser Guard фишинговые страницы и вредоносные сайты. Бесплатно, устанавливается одним щелчком мыши. Добавьте его в свой браузер →

Об авторе

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.