Bitdefender: Google Ads dirottati usano Evernote per malware Mac via Terminale.
Bitdefender svela malvertising: Google Ads dirottati distribuiscono software falsi a utenti Mac via Evernote, installando il pericoloso MacSync Stealer.
almeno 35 account pubblicitari di aziende legittime sono stati dirottati per spingere download falsi di software popolari verso utenti Mac, che vengono indotti a eseguire comandi malevoli attraverso pagine Evernote.
Un’altra settimana, un altro allarme malvertising che coinvolge gli annunci di Google. Il 18 febbraio 2026, Bitdefender Labs ha pubblicato un report che descrive una campagna attiva e sofisticata: almeno 35 account Google Ads di aziende legittime sono stati dirottati per spingere download falsi di software popolari come 7-Zip, Notepad++ e Microsoft Office verso utenti Mac.
La notizia, di per sé, non è una novità assoluta. Il meccanismo del “malvertising” – pubblicità malevole – è un classico.
Ma è proprio la normalità di questi episodi a sollevare le domande più scomode: perché il sistema di una delle aziende più ricche e tecnologicamente avanzate al mondo continua a essere così regolarmente violato e trasformato in una autostrada per il crimine informatico?
E, soprattutto, chi paga il conto quando la fiducia negli annunci a pagamento si erode?
La tecnica usata in questo caso è un esempio di come l’ingegneria sociale batta spesso qualsiasi firewall. Gli annunci dirottati non portano a un classico sito di download fasullo. Invece, reindirizzano la vittima verso una pagina condivisa su Evernote, un servizio di note legittimo e generalmente considerato innocuo. La pagina è costruita per sembrare una guida di installazione ufficiale, magari un tutorial su come installare un software open-source tramite Terminale. Al centro, c’è un comando offuscato in Base64.
L’utente, credendo di seguire istruzioni tecniche valide, copia e incolla quel comando nel Terminale del suo Mac, eseguendo così volontariamente il payload malevolo. È un trucco che sposta il punto di fallimento dalla tecnologia all’essere umano, sfruttando la sua fretta o la sua fiducia in brand noti. Come sottolinea Bitdefender, queste campagne si affidano all’ingegneria sociale per indurre gli utenti a eseguire malware, spesso attraverso falsi software crackati o, come in questo caso, impersonando strumenti di sviluppo rispettati.
La catena di comando che svuota il portafoglio
Cosa succede dopo aver incollato quel comando? Il sistema viene infettato con una variante aggiornata di un malware chiamato MacSync Stealer, parte di un ecosistema criminale più ampio noto come ClickFix. Questo stealer è progettato per una cosa sola: rubare. Setaccia il sistema alla ricerca di portafogli di criptovalute, estensioni di browser legate al crypto, gestori di password, cookie di sessione dei social media e persino note dell’app Note di macOS.
Può anche mostrare finte finestre di dialogo per la password di sistema per raccogliere credenziali. L’obiettivo è il furto di identità digitale e di asset finanziari, con danni che possono essere devastanti per il singolo utente.
La scelta delle vittime è significativa: gli utenti Mac. Per anni è persistito il mito dell’invulnerabilità (o quasi) dei computer Apple ai malware. Campagne come questa dimostrano che i criminali non hanno pregiudizi di piattaforma; seguono il denaro e le opportunità. Un utente Mac medio, magari meno abituato a sospettare di annunci pubblicitari rispetto al suo omologo Windows, può essere un bersaglio più facile. Inoltre, la campagna dirottata di Google Ads che spingeva falsi software agli utenti Mac prendeva di mira principalmente gli utenti macOS. L’attacco sfrutta proprio questa percezione di sicurezza per colpire in modo più efficace.
Ma il vero nodo della questione non è il Mac o il particolare malware. È il vettor: Google Ads. Come fanno decine di account pubblicitari di aziende reali – da studi legali a charity, da agenzie di viaggio a hotel – a finire nelle mani dei criminali? Il report non entra nel dettaglio, ma il playbook è noto: phishing mirato agli amministratori degli account, sfruttamento di vulnerabilità, o credenziali rubate.
Una volta preso il controllo, i criminali possono modificare campagne esistenti o crearne di nuove, dirottando il budget pubblicitario dell’azienda legittima per i loro scopi. L’azienda vittima del furto dell’account si ritrova con una fattura di Google gonfiata da campagne fraudolente e, suo malgrado, complice nella diffusione di malware.
Il gioco del gatto con il topo (dove il topo ha sempre un account di riserva)
Google, ovviamente, non sta a guardare. L’azienda afferma di combattere attivamente queste minacce. In altri contesti, Google ha preso provvedimenti contro gli attori delle minacce disabilitando gli asset associati ad attività malevole. Inoltre, risponde alle vulnerabilità tecniche critiche, come quando ha rilasciato un aggiornamento di sicurezza di emergenza per Chrome per risolvere una vulnerabilità zero-day (CVE-2026-2441) che veniva attivamente sfruttata.
Ma è una corsa agli armamenti. I criminali sono agili, automatizzati e spregiudicati. Creano nuove campagne in ore, sfruttano piattaforme legittime come Evernote (fino a quando non vengono bloccate) e hanno a disposizione un arsenale di malware come CastleLoader, un caricatore basato su script che decritta e carica payload in memoria ed è stato implementato in Python e AutoIt.
Il modello di business della pubblicità online, basato sulla velocità, sull’automazione e sulla scalabilità, gioca a favore degli aggressori. Il sistema è progettato per far apparire gli annunci giusti agli utenti giusti nel minor tempo possibile. I controlli, per quanto sofisticati, devono bilanciare sicurezza e fluidità dell’esperienza pubblicitaria. In questo equilibrio, le falle sono inevitabili.
E mentre Google e Meta (anche lei regolarmente nel mirino, come dimostra una campagna che sfruttava annunci Facebook per estensioni browser false “Meta Verified”) giocano a whac-a-mole con le campagne malevole, il danno economico e reputazionale si accumula. A pagare sono gli utenti truffati, le aziende i cui account sono violati e, in ultima analisi, la fiducia collettiva nell’ecosistema digitale pubblicitario.
Allora, siamo condannati a un ciclo infinito di allarmi malvertising?
Forse la domanda da porsi è più radicale. Se un canale pubblicitario viene sistematicamente abusato per attività criminali che causano danni finanziari diretti agli utenti, qual è la responsabilità della piattaforma che monetizza quel canale? Dove finisce il “rischio del settore” e inizia una possibile negligenza?
I report di società come Bitdefender, che correla IOC in tempo reale come indirizzi IP o domini di server C2, sono fondamentali, ma restano un rimedio dopo il fatto. L’episodio degli annunci dirottati che portano a Evernote non è un fallimento tecnologico isolato; è il sintomo di un conflitto di interessi strutturale in un’economia dell’attenzione dove la sicurezza è troppo spesso una variabile dipendente, non un prerequisito.
Finché il costo economico di questi episodi per le big tech rimarrà inferiore ai ricavi generati dal sistema pubblicitario che li permette, il gatto continuerà a correre dietro al topo, e noi utenti saremo il formaggio sul piatto.
