// 4 ZERO-DAY · 5 CVE · 6 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Campagne attive sfruttano il badge blu di X per distribuire malware Mac via ClickFix e rubare token OAuth Microsoft 365 con ConsentFix. Il paradosso della verifica

Il 3 luglio 2026 Malwarebytes ha documentato due campagne attive che trasformano la fiducia digitale in superficie d'attacco. Account verificati su X veicolano pubblicità che portano a malware Mac installato tramite comandi Terminal; parallelamente, una tecnica chiamata ConsentFix sottrae token OAuth di Microsoft 365 in circa tre secondi, bypassando password e autenticazione a più fattori. Entrambe le tecniche sfruttano l'intenzionalità dell'utente come vulnerabilità principale.

Punti chiave
  • Un account verificato su X ha ospitato pubblicità che reindirizzavano verso il dominio lookalike dynamicmacisland[.]com per distribuire varianti di Atomic Stealer su macOS.
  • Le vittime venivano istruite ad aprire Terminal e incollare comandi che installavano silenziosamente il malware, trasformando l'utente in installer inconsapevole.
  • ConsentFix ruba token OAuth di Microsoft 365 tramite un flusso di consenso apparentemente legittimo che richiede solo di trascinare un link localhost nel browser.
  • Entro marzo 2026 un tutorial dettagliato di ConsentFix era già disponibile su un forum cybercrime russo pubblico, con codice funzionante, screenshot e tecniche di profilazione via LinkedIn.

Come ClickFix sfrutta la verifica di X per colpire i Mac

La campagna ClickFix individuata da Malwarebytes impersona un'applicazione chiamata "DynamicLake", presentata come utility macOS che simula la funzionalità Dynamic Island di Apple. Il dominio dynamicmacisland[.]com replica l'aspetto di un sito legittimo e ospita istruzioni che guidano l'utente verso l'autoinfizione.

Il meccanismo è deliberatamente controcorrente rispetto al malware tradizionale. Invece di exploit automatici o file dannosi mascherati, l'attacco richiede azioni apparentemente innocue: aprire Terminal, copiare un comando, incollarlo e premere Invio. Questi passaggi, eseguiti dall'utente stesso, eludono le protezioni automatiche di macOS e installano silenziosamente varianti di Atomic Stealer, un infostealer già noto nel panorama delle minacce.

L'uso di un account verificato su X come veicolo pubblicitario è il dettaglio che ribalta il paradigma della sicurezza. Il badge blu, progettato per garantire autenticità, diventa garanzia di credibilità per un flusso di compromissione. La fonte non specifica se l'account sia stato sospeso o identificato.

ConsentFix: quando l'utente diventa identity provider

ConsentFix rappresenta un'evoluzione qualitativa rispetto a ClickFix. Secondo Malwarebytes, "where ClickFix turns you into the installer, ConsentFix turns you into the identity provider". La tecnica non richiede l'esecuzione di alcun malware: l'intera compromissione avviene nel flusso normale di autenticazione OAuth.

Il meccanismo documentato nelle fonti prevede che la vittima, dopo aver seguito un link di phishing spesso ospitato su piattaforme trusted come Dropbox o DocSend con protezione password, venga istruita a completare un processo apparentemente legittimo trascinando un link localhost callback nel browser. Quel gesto di drag-and-drop cede inconsapevolmente i token di sessione all'attaccante.

Il risultato è un accesso completo a email e servizi Microsoft 365 senza password e senza completare l'autenticazione a più fattori. Secondo la citazione riportata da Malwarebytes: "It can start with something as mundane as dragging a link into your browser. Three seconds later, a threat actor has the tokens needed to take over your Microsoft 365 account, and you never did anything that traditional security awareness training would flag."

"Three seconds later, a threat actor has the tokens needed to take over your Microsoft 365 account, and you never did anything that traditional security awareness training would flag."

Dal forum russo alla commoditizzazione: la proliferazione è già iniziata

La diffusione di ConsentFix non è limitata a operatori sofisticati. Entro marzo 2026, secondo BleepingComputer, un tutorial dettagliato era già stato pubblicato su un forum cybercrime russo pubblico. Il materiale includeva codice funzionante, screenshot dell'infrastruttura, video dimostrativi e tecniche di profilazione target tramite LinkedIn per mappare organizzazioni e personalizzare le esche su persone reali.

Questo livello di documentazione indica una commoditizzazione in corso. Quando una tecnica che bypassa MFA viene spiegata passo-passo con materiale multimediale su forum accessibili, la barriera all'ingresso per threat actor meno qualificati si abbassa drasticamente. La fonte non specifica se il tutorial sia la fonte originale o una ripubblicazione.

Perche è importante

Il dossier non documenta misure correttive specifiche rilasciate da Microsoft o da altri vendor per contrastare ConsentFix. Il brief non specifica se esistano varianti della tecnica per provider OAuth oltre Microsoft 365. Non emerge nemmeno il numero esatto di vittime o la scala della campagna pubblicitaria su X.

Quel che la fonte rende chiaro è il limite strutturale delle difese tradizionali. Quando l'attacco si nutre di azioni legittime — un annuncio verificato, un drag-and-drop nel browser, un consenso OAuth apparentemente standard — le perimetralità tecniche e l'awareness convenzionale perdono efficacia. La fiducia nel processo diventa essa stessa il vettore di compromissione.

Il brief non riporta inoltre se Malwarebytes abbia analizzato direttamente i sample di Atomic Stealer o riporti da terze parti, nè fornisce l'identità specifica dell'account X verificato utilizzato nella campagna ClickFix.

La lettura: intenzionalità come vulnerabilità zero-day

Ciò che rende queste campagne rilevanti oltre la singola compromissione è il principio architettonico che condividono. Entrambe sfruttano la "user intentionality" — la capacità umana di intendere un'azione e compierla consapevolmente — come se fosse una vulnerabilità software. Non c'è exploit da patchare, né bug da correggere: c'è un flusso di fiducia che l'attaccante imita e devia.

Il paradosso è che le piattaforme hanno costruito interi ecosistemi di verifica proprio per risolvere questo problema, e ora quella stessa infrastruttura viene riciclata come garanzia di autenticità per la minaccia. Il badge blu di X, il flusso OAuth di Microsoft, il drag-and-drop nel browser: sono primitive legittime che, combinate in sequenza, producono effetti illegittimi. Separare le due cose — uso legittimo e uso malevolo — diventa sempre più difficile per sistemi automatici e utenti.

Fonti

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. malwarebytes.com
  2. support.apple.com
  3. bleepingcomputer.com