ClickFix и ConsentFix: новые схемы кражи данных
Эволюция обмана: как ClickFix и ConsentFix переписывают правила социальной инженерии
Ландшафт киберугроз снова доказал, что главной уязвимостью остается не код, а человек. Новые исследования раскрывают тревожную тенденцию: преступники отказываются от сложных эксплойтов в пользу изощренных психологических манипуляций, направленных на пользователей Mac и корпоративных клиентов Microsoft 365. Две независимые кампании — ClickFix и ConsentFix — демонстрируют, как легко грань между легитимным инструментом и оружием стирается с помощью верифицированной рекламы и поддельных страниц авторизации.
Mac в осаде: реклама в X и призрак Dynamic Island
Одной из самых громких атак стала схема, реализованная через официально верифицированный аккаунт в X (ранее Twitter). Злоумышленники применили технику ClickFix, заманивая жертв обещанием загрузить утилиту, имитирующую фирменную функцию Apple — Dynamic Island.
Кампания использовала спонсируемую рекламу, которая выглядела безупречно и перенаправляла пользователей на фейковый домен dynamicmacisland.com. Вместо установки безобидного расширения, пользователи, следуя инструкциям на экране, собственноручно запускали вредоносные команды в Терминале macOS. Этот метод позволил обойти встроенные средства защиты, поскольку операционная система воспринимала действия как легитимную волю администратора.
Доставленная полезная нагрузка оказалась вариантами печально известного стиллера Atomic Stealer, нацеленного на сбор конфиденциальной информации. Данный инцидент высветил три критических фактора, делающих атаку столь эффективной:
- Зависимость от взаимодействия: ВПО не эксплуатирует уязвимости кода, а заставляет пользователя самостоятельно отключить защиту.
- Домены-двойники: Имитация доверенных приложений и сайтов Apple для снижения критичности восприятия.
- Платная верификация: Использование престижа платформы и значков верификации для создания ложного чувства безопасности.
«Синий значок верификации или реклама в топ-выдаче больше не являются индикаторами безопасности. Это лишь маркеры бюджета злоумышленника и его умения манипулировать доверием к платформам», — отмечается в отчете.
Microsoft 365 под прицелом: техника ConsentFix без вредоносного ПО
Параллельно набирает обороты кампания ConsentFix, которая переводит угрозы для пользователей Windows на качественно иной уровень. Ее ключевая особенность — полное отсутствие вредоносного программного обеспечения на устройстве жертвы. Вместо кражи паролей через keyloggers, атака нацелена на захват токенов облачной аутентификации.
Механизм атаки построен на фишинговых письмах, содержащих специфические ссылки. Пользователей инструктируют перетащить (drag-and-drop) эти ссылки в адресную строку браузера, что значительно усложняет детектирование вредоносной активности автоматическими системами. После этого жертва попадает на поддельную страницу входа Microsoft, зачастую размещенную на легитимных файлообменниках вроде Dropbox, где и передает свои учетные данные и токены сессий.
Особую опасность представляет снижение порога входа для преступников. Техника, активно обсуждаемая на российских киберкриминальных форумах, позволяет проводить атаки даже низкоквалифицированным хакерам. Им не нужно писать вирусы — достаточно арендовать фишинговый набор и убедить жертву перетащить ссылку.
Эволюция требует бдительности
Постоянная мутация угроз, таких как ClickFix и ConsentFix, подчеркивает сдвиг в методологии киберпреступников: от атак на инфраструктуру к манипулированию поведением пользователей. Это требует внедрения защитных мер, основанных на Zero Trust, и повышения осведомленности о том, что любое нежелательное сообщение или инструкция по работе с терминалом должны восприниматься как прямая угроза, независимо от статуса аккаунта-отправителя.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



