Martedi 07 Luglio 2026 02:53:10 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cloud, SaaS & Identity Security

Insidia PDF: una rete globale di malvertising dirotta Google Ads per infiltrarsi nelle aziende tech

Pubblicato: 20 Gennaio 2026 07:32Categoria: Cloud, SaaS & Identity SecurityArea: EuropeAutore: LOGICFALCON

Una campagna malware furtiva ha sfruttato Google Ads e falsi editor PDF per rubare credenziali a centinaia di organizzazioni in tutto il mondo.

Quando una tecnica a Berlino ha cercato un semplice manuale PDF, non aveva idea che il suo clic su un link sponsorizzato avrebbe spalancato la porta a un’operazione internazionale di cybercriminalità. Dietro una patina di pubblicità legittima e software familiare, gli attaccanti hanno tessuto una rete di inganni così intricata che ci sono voluti mesi agli investigatori della sicurezza per scoprirla. La campagna TamperedChef, come è ora conosciuta, ha trasformato le ricerche quotidiane in furti silenziosi-dimostrando quanto vulnerabile possa essere la catena di fornitura digitale.

Dati rapidi

  • Oltre 100 organizzazioni in 19 Paesi sono cadute vittime di TamperedChef scaricando un editor PDF trojanizzato tramite Google Ads.
  • Gli attaccanti hanno sfruttato malware dormiente, attivando il furto di credenziali dopo 56 giorni per eludere il rilevamento precoce.
  • Il malware ha preso di mira le credenziali salvate nei browser e ha stabilito un accesso backdoor persistente sui sistemi Windows.
  • Falsi certificati di firma del codice hanno aiutato gli installer malevoli a superare i controlli di sicurezza e a sembrare legittimi.
  • I settori più colpiti facevano affidamento su manuali online e documentazione tecnica, con Germania, Regno Unito e Francia tra i più colpiti.

La campagna TamperedChef è emersa per la prima volta nel giugno 2025, quando attori della minaccia hanno registrato decine di domini convincenti che vendevano uno strumento apparentemente innocuo: AppSuite PDF Editor. Questi siti, spinti in alto dall’ottimizzazione per i motori di ricerca e da posizionamenti pubblicitari a pagamento, hanno intrappolato utenti in cerca di manuali di elettrodomestici e soluzioni di modifica PDF. L’innovazione degli attaccanti? Hanno trasformato in arma Google Ads su siti affidabili come ManualsLib, reindirizzando utenti ignari verso installer malevoli.

Una volta eseguito, l’installer ha scompattato un payload furtivo: un editor PDF che funzionava come promesso ma che, al contempo, agiva da infostealer. Il malware è rimasto dormiente per quasi due mesi-rispecchiando la durata tipica di una campagna pubblicitaria-prima di attivarsi silenziosamente. I suoi bersagli? Credenziali salvate nei browser, cookie e dati di compilazione automatica di Chrome, Edge e altri. Ha persino verificato la presenza di prodotti di sicurezza come Kaspersky e Fortinet, adattando le proprie tattiche per la massima furtività.

La sofisticazione tecnica degli attaccanti non si è fermata lì. Un payload secondario, ManualFinderApp.exe, ha stabilito un canale occulto con server di comando e controllo, consentendo l’esecuzione remota di codice e un furto di dati continuativo. Il tutto era mascherato da certificati di firma del codice fraudolenti, alcuni provenienti da aziende in Malesia e negli Stati Uniti, permettendo al malware di superare le protezioni di Windows SmartScreen.

Gli analisti di Sophos stimano che oltre 300 sistemi siano stati compromessi prima che le forze dell’ordine e i team di cybersecurity potessero intervenire. Le vittime principali della campagna erano organizzazioni dipendenti da apparecchiature tecniche specializzate, i cui dipendenti erano più propensi a cercare online documentazione e utility. I collegamenti dell’operazione con il più ampio gruppo di minaccia EvilAI fanno scattare l’allarme sull’uso crescente di codice generato dall’IA per creare varianti di malware che eludono le difese antivirus tradizionali.

La lezione? Anche il compito online più routinario-scaricare un editor PDF-può offrire un punto d’ingresso a cybercriminali avanzati. Si invita le organizzazioni a considerare compromesse tutte le credenziali del browser sui sistemi interessati, imporre reset immediati delle password e monitorare modifiche sospette al registro e attività pianificate. In un mondo in cui la fiducia può essere sovvertita con tanta facilità, la vigilanza resta l’unica vera difesa.

WIKICROOK

  • Malvertising: Il malvertising è l’uso di annunci online per diffondere malware, spesso ingannando gli utenti affinché clicchino su link dannosi-anche su siti web considerati affidabili.
  • Infostealer: Un infostealer è un malware progettato per rubare dati sensibili-come password, carte di credito o documenti-da computer infetti senza che l’utente se ne accorga.
  • Codice: Il codice è un insieme di istruzioni scritte per i computer. In cybersecurity, analizzare il codice aiuta a individuare software non autorizzati o sospetti, incluse minacce nascoste.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.