Sabato 04 Luglio 2026 12:45:25 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Sicurezza Cloud, SaaS e Identità

Verificato, sponsorizzato e ancora pericoloso: i segnali di fiducia che i cybercriminali stanno imparando a dirottare

Pubblicato: 04 Luglio 2026 08:09Categoria: Sicurezza Cloud, SaaS e IdentitàArea: Nord America / USAAutore: AUDITWOLF

Due tecniche separate mostrano come gli attaccanti facciano leva sulla fiducia degli utenti - una tramite un'esca macOS promossa, l'altra tramite l'abuso di token Microsoft 365 basato sul browser.

Una spunta, un'etichetta sponsorizzata e una pagina di accesso familiare possono far sembrare qualcosa sicuro a colpo d'occhio. È proprio per questo che questi dettagli stanno diventando utili per gli attaccanti. Una campagna collegata a una pubblicità X verificata usava un'esca macOS chiamata DynamicLake, mentre una tecnica separata chiamata ConsentFix si concentra sui token di sessione di Microsoft 365 anziché sul malware classico.

Fatti rapidi

  • Una pubblicità sponsorizzata verificata su X è stata collegata a una campagna rivolta a macOS che coinvolgeva un'esca chiamata DynamicLake.
  • L'attività su macOS era associata a un modello di esecuzione utente in stile ClickFix.
  • ConsentFix è descritto come una tecnica di dirottamento basata sul browser che può esfiltrare i token di sessione di Microsoft 365.
  • La parte relativa a Microsoft 365 non richiede malware tradizionale nel senso consueto.
  • L'intera portata di eventuali utenti o organizzazioni colpiti non è stata pubblicamente accertata.

Perché il percorso dell'attacco è importante

Il filo conduttore non è un exploit del kernel o un zero-day appariscente. È l'abuso della fiducia. Sul fronte macOS, l'esca sembra fare affidamento su una catena di esecuzione guidata dall'utente associata a ClickFix, un pattern di social engineering in cui la vittima viene spinta a eseguire qualcosa da sola. Ricerche correlate su macOS hanno mostrato che queste esche possono spostarsi da Terminal a Script Editor, riducendo i sospetti perché l'azione continua a sembrare un normale passaggio di risoluzione dei problemi.

Il nome DynamicLake conta perché un branding di prodotto reale può far sembrare un'esca una cosa di routine. Allo stesso tempo, i dettagli disponibili non stabiliscono in modo completo se DynamicLake fosse il payload, un download simile a quello reale, o semplicemente un'etichetta usata per attirare l'attenzione. Questa incertezza è importante: la lezione di sicurezza riguarda il metodo di distribuzione, non solo il nome associato.

ConsentFix rappresenta la versione legata all'identità cloud della stessa idea. Invece di depositare un file, la tecnica si concentra sui flussi di autorizzazione nativi del browser e sul materiale token legato a Microsoft 365. Le stesse indicazioni di Microsoft sull'abuso del consenso chiariscono il rischio più ampio: se un attaccante riesce ad accedere ad artefatti di autorizzazione validi, i reset della password da soli potrebbero non rimuovere quell'accesso. Il pericolo non è solo l'accesso all'account, ma la persistenza derivante da sessioni basate su token e autorizzazioni delegate.

Al momento della pubblicazione, le informazioni pubbliche non hanno ancora stabilito in modo completo la causa tecnica principale, l'intera portata degli utenti colpiti o se i sistemi downstream siano stati compromessi. Ciò che è chiaro è che entrambi i casi spingono il compromesso dentro i normali flussi di lavoro degli utenti, dove annunci, schermate di consenso e prompt del browser possono fare il lavoro dell'attaccante al posto suo.

Cosa dovrebbero ricavarne i difensori

Per i team endpoint, la lezione è trattare le inserzioni sponsorizzate e le pagine di download simili a quelle legittime come non affidabili finché non vengono verificate in modo indipendente. Per i team identity, la priorità è rivedere il consenso delle app, le autorizzazioni delegate e le anomalie di accesso in Microsoft 365 ed Entra ID. Una politica delle password forte è utile, ma non basta quando l'attaccante prende di mira il browser, il flusso di consenso o il token stesso.

Conclusione

La storia più grande non è che una piattaforma o una rete pubblicitaria sia stata compromessa. È che la criminalità informatica continua a spostarsi verso i luoghi di cui le persone già si fidano. In questo contesto, il vero controllo non è un badge o una pagina di login familiare - è la verifica, il monitoraggio e il rifiuto di lasciare che la comodità diventi una superficie d'attacco.

TECHCROOK

chiave di sicurezza hardware: Una piccola chiave di sicurezza USB o NFC aggiunge una forte protezione a due fattori per email, identità cloud e accessi amministrativi. È un'opzione pratica quando gli attaccanti fanno affidamento su phishing, falsi prompt di consenso o abuso di sessione per raggiungere gli account. Molti team la usano con password manager e policy di accesso condizionale.

Scheda Techcrook: chiave di sicurezza hardware

WIKICROOK

  • ClickFix: Un pattern di social engineering che spinge le vittime a eseguire da sole codice o comandi.
  • Consent phishing: Una tecnica che abusa di legittimi prompt di consenso delle app per ottenere accesso tramite autorizzazioni approvate.
  • Token di sessione: Una credenziale temporanea che può mantenere un utente connesso senza reinserire la password.
  • OAuth: Un sistema di autorizzazione che consente alle app di richiedere un accesso limitato ad account e dati.
  • Autorizzazioni delegate: Diritti di accesso concessi a un'app per agire per conto di un utente all'interno di un servizio cloud.