Sabato 06 Giugno 2026 16:24:24 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Malware e botnet

Google Ads e le chat di Claude trasformati in un imbuto per malware per utenti Mac

11 Maggio 2026 13:06Malware e botnetNord America / USAIRONQUERY

Una campagna malvertising sta abusando dei risultati di ricerca sponsorizzati e delle chat condivise di Claude.ai per diffondere malware per macOS attraverso la normale fiducia nel web.

Introduzione

Quando un annuncio appare in cima ai risultati di ricerca, molte persone lo considerano una scorciatoia verso la legittimità. Quando un link a una chat AI condivisa appare ordinato e tecnico, può risultare ugualmente rassicurante. È proprio questa combinazione a rendere interessante questa campagna: sembra usare Google Ads per la portata e le chat condivise di Claude.ai per una credibilità apparente, con malware per macOS come obiettivo finale.

Dal punto di vista difensivo, si tratta meno di uno sfruttamento spettacolare e più di una fiducia reindirizzata attraverso il normale comportamento degli utenti. Le informazioni disponibili supportano un’analisi del rischio, non una ricostruzione completa della catena di distribuzione o del payload.

Fatti rapidi

  • Gli attaccanti stanno usando Google Ads in una campagna malvertising in corso.
  • Le chat condivise legittime su Claude.ai vengono usate come parte del percorso di distribuzione.
  • La campagna sta distribuendo malware mirato ai sistemi macOS.
  • Il payload esatto, il formato del programma di installazione e il metodo di esecuzione restano non confermati.
  • Il caso evidenzia come piattaforme fidate possano essere abusate come livelli di esca, non solo come livelli di hosting.

Corpo

Il malvertising funziona perché prende in prestito la credibilità dell’ecosistema pubblicitario. Un risultato sponsorizzato può mettere una destinazione malevola davanti a un utente prima che abbia qualsiasi motivo di metterla in dubbio. MITRE ATT&CK classifica questo tipo di abuso sotto il drive-by compromise, in cui il browser diventa parte del percorso di accesso iniziale anziché il bersaglio finale.

L’elemento Claude aggiunge un secondo livello di riciclaggio della fiducia. Un’istantanea di una chat condivisa non è una tradizionale pagina di phishing, ma può comunque fungere da punto di riferimento pubblico che appare innocuo. Questo conta perché gli attaccanti non hanno sempre bisogno di uno sfruttamento sofisticato se riescono a convincere gli utenti a passare da un punto di ingresso apparentemente fidato a una fase di download.

Per gli utenti macOS, questo non significa che le protezioni della piattaforma siano inefficaci. Gatekeeper, notarizzazione, XProtect e System Integrity Protection sono progettati per rendere più difficile l’esecuzione di software indesiderato e più difficile la sua persistenza. Ma questi controlli sono più utili dopo che un file è stato scaricato o avviato. Se un utente viene indotto ad aprire volontariamente un pacchetto malevolo, il peso si sposta dalla difesa perimetrale all’igiene dell’endpoint e al giudizio dell’utente.

Resta una limitazione importante: le informazioni pubbliche non stabiliscono ancora la famiglia del malware, se l’attacco utilizzi un semplice reindirizzamento o una catena più complessa, né quante persone siano state colpite. Inoltre, non prova un uso improprio da parte di alcun fornitore della piattaforma. Ciò che mostra, però, è un modello criminale familiare con una veste moderna: usare la portata degli annunci di ricerca, la familiarità dei contenuti AI condivisi e l’impazienza dei clic ordinari per portare un payload davanti al bersaglio.

Conclusione

La lezione più ampia è semplice. Gli attaccanti non hanno bisogno di inventare nuovi sistemi di fiducia quando possono parassitare quelli che le persone usano già ogni giorno. I team di sicurezza dovrebbero guardare oltre il campione finale di malware e monitorare la catena di referral, la traccia dell’annuncio e il link condiviso che ha fatto sembrare sicura l’esca. Nel 2026, la superficie d’attacco non è solo il codice. È la fiducia.

TECHCROOK

unità di backup esterna: I backup offline regolari rendono più facile ripristinare un Mac dopo un download errato, una pulizia da malware o una reinstallazione completa del sistema. Un SSD portatile o un hard disk è uno strumento semplice e comune per tenere i file importanti separati dai rischi quotidiani di navigazione ed email.

Scheda Techcrook: external backup drive

WIKICROOK

  • Malvertising: L’uso dei sistemi pubblicitari per distribuire o preparare contenuti malevoli.
  • Drive-by compromise: Una tecnica di accesso iniziale in cui un utente è esposto a contenuti malevoli durante la normale navigazione web.
  • Gatekeeper: Un controllo di macOS che verifica le app scaricate prima della loro esecuzione.
  • XProtect: Il meccanismo integrato di Apple per il rilevamento e la rimozione di malware su macOS.
  • System Integrity Protection (SIP): Una protezione di macOS che limita la modifica delle aree critiche del sistema.
IRONQUERY
AutoreIRONQUERY

Malware e botnet