Utenti Safari intrappolati: dentro il labirinto di malvertising D-Shortiez
Sottotitolo: Una scaltra campagna pubblicitaria ha trasformato il pulsante “indietro” di Safari in un’arma, bloccando gli utenti in una rete di truffe.
Immagina di provare a fuggire da un sito sospetto, solo per scoprire che il pulsante “indietro” del browser ti ha tradito: ogni clic ti fa sprofondare sempre più in un labirinto di truffe. Questo incubo è diventato realtà per milioni di persone alla fine del 2025, quando la campagna di malvertising D-Shortiez ha scatenato un’ondata di reindirizzamenti forzati mirati agli utenti di Apple Safari, trasformando una semplice funzione di navigazione in una botola per il cybercrimine.
L’anatomia di un tradimento del browser
La campagna D-Shortiez rappresenta una nuova frontiera del malvertising: gli attaccanti non sfruttano soltanto le reti pubblicitarie, ma le stesse meccaniche dei browser web. Nel suo nucleo, D-Shortiez si basava su un payload JavaScript ingannevolmente semplice, prendendo di mira il browser Safari di Apple e, di conseguenza, milioni di utenti iOS.
Ecco come funzionava: il codice malevolo manipolava la funzione history.pushState del browser, inserendo di nascosto una voce vuota nello stack della cronologia. Questa mossa sottile disabilitava il comportamento atteso del pulsante “indietro”. Invece di riportare l’utente al sicuro, il clic su “indietro” attivava l’evento onpopstate, che reindirizzava immediatamente la vittima verso un altro sito malevolo. Il risultato? Una catena fluida e ineludibile di pagine truffaldine: ogni clic non faceva che scavare l’utente sempre più a fondo.
Mentre molti browser gestiscono tali manipolazioni con misure di protezione, l’implementazione di Safari si è rivelata particolarmente vulnerabile, consentendo a D-Shortiez di creare un loop di reindirizzamento ininterrotto. La portata della campagna è stata impressionante: oltre 300 milioni di impression pubblicitarie malevole-principalmente negli Stati Uniti, con una significativa ricaduta in Canada e in Europa-sono state registrate in soli sei mesi. La stragrande maggioranza prendeva di mira dispositivi iOS, sottolineando la precisione dell’attenzione rivolta all’ecosistema mobile di Apple.
Le vittime attirate da annunci compromessi si ritrovavano intrappolate in una giostra di pop-up di falso supporto tecnico, moduli di phishing e altri raggiri digitali. L’attacco era così efficace perché faceva leva su un istinto universale dell’utente: affidarsi al pulsante “indietro” del browser come via di fuga dai siti loschi.
Risposta e lezioni apprese
La vulnerabilità è stata segnalata ad Apple a settembre 2025. Entro gennaio 2026, l’azienda ha rilasciato un aggiornamento di sicurezza per Safari, chiudendo la falla sfruttata da D-Shortiez. Sebbene questa patch abbia arginato l’ondata, l’incidente è un monito netto: man mano che i browser diventano più complessi, lo diventano anche le tattiche di chi cerca di sfruttarli.
Per utenti e organizzazioni, la saga D-Shortiez sottolinea l’importanza di aggiornamenti software tempestivi e di uno sguardo scettico verso comportamenti inattesi del browser. In un mondo digitale in cui persino un pulsante “indietro” può essere trasformato in un’arma, la vigilanza è più vitale che mai.
WIKICROOK
- Malvertising: Il malvertising è l’uso di annunci online per diffondere malware, spesso ingannando gli utenti e inducendoli a cliccare su link dannosi-anche su siti web considerati affidabili.
- Payload JavaScript: Un payload JavaScript è codice malevolo eseguito in un browser, spesso usato dagli attaccanti per rubare dati o manipolare sessioni web.
- history.pushState: history.pushState consente a JavaScript di aggiornare la cronologia di sessione del browser, abilitando una navigazione dinamica nelle web app senza ricaricare la pagina.
- Evento onpopstate: L’evento onpopstate si attiva quando gli utenti navigano nella cronologia del browser, consentendo aggiornamenti dinamici dei contenuti. Una gestione corretta è cruciale per prevenire problemi di sicurezza nelle web app.
- Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.




