Cosa succede cercando "TradingView" su Google per scaricare l'app desktop?

Cliccando sul primo risultato, un "Annuncio", l'utente viene reindirizzato a una replica del sito ufficiale che serve un installer infetto, installando il malware Atomic Stealer (AMOS) sul Mac.

Google Search è diventato un canale di distribuzione di malware?

Sì, Google Search è diventato un canale di distribuzione di malware su larga scala, documentato dai ricercatori di sicurezza. I criminali usano tecniche come il malvertising e l'avvelenamento dei risultati SEO.

Come funziona il meccanismo di attacco tramite Google Ads?

Gli aggressori acquistano annunci Google tramite Google Ads, puntando su parole chiave specifiche. Il loro link malevolo ottiene la posizione più visibile, spesso sopra i risultati organici, e l'utente, fidandosi, clicca.

Perché Google non riesce a bloccare tutti gli annunci malevoli?

Google ha politiche e sistemi di blocco, ma gli aggressori eludono i controlli iniziali, ad esempio modificando gli annunci dopo l'approvazione. Esiste un conflitto di interessi strutturale, poiché controlli manuali approfonditi introdurrebbero costi enormi e rallenterebbero il motore dei ricavi di Google Ads.

Apple 28 days ago

Google Ads distribuisce malware su Mac: Atomic Stealer colpisce utenti TradingView

Q: Cosa possono rubare i malware distribuiti tramite Google Ads?

Questi malware possono saccheggiare password salvate nel browser, cookie di sessione, portafogli di criptovalute (come Exodus o Atomic Wallet), file sensibili, accedere all'intero keychain di macOS e bypassare l'autenticazione a due fattori.

La piattaforma è sfruttata per piazzare download infetti in cima alle ricerche attraverso annunci ingannevoli, mettendo a rischio anche gli utenti Apple

Un utente cerca su Google “TradingView”, il popolare sito di analisi finanziaria, per scaricare l’app desktop. Il primo risultato, contrassegnato dalla rassicurante etichetta “Annuncio”, promette proprio il download.

Cliccando, però, non si atterra sul sito ufficiale, ma su una sua replica quasi perfetta che, invece del software legittimo, serve un installer infetto.

In pochi secondi, un malware chiamato Atomic Stealer (AMOS) si installa sul Mac, saccheggiando password salvate nel browser, cookie di sessione, portafogli di criptovalute e file sensibili.

La porta d’ingresso non è stata un’email sospetta o un sito oscuro, ma la pagina dei risultati del più grande motore di ricerca al mondo, che ha venduto e posizionato quell’annuncio ingannevole.

Questo scenario non è un’ipotesi di laboratorio, ma una routine documentata dai ricercatori di sicurezza.

Google Search, la piattaforma su cui miliardi di persone fanno affidamento per navigare il web, è diventata un canale di distribuzione di malware su larga scala, e gli utenti Apple, spesso considerati al sicuro in un ecosistema chiuso, sono nel mirino.

La fiducia degli utenti è l’asset principale che i criminali informatici stanno sfruttando. Tecniche come il malvertising (pubblicità malevola) e l’avvelenamento dei risultati SEO permettono di piazzare download infetti in cima alle ricerche per software popolari come browser, strumenti di trading o utility di sistema. Una ricerca per “pulizia Mac” può portare a pagine di supporto Apple fasulle che inducono a eseguire comandi terminale pericolosi.

Il meccanismo è sempre lo stesso: gli aggressori acquistano annunci Google tramite Google Ads, puntando su parole chiave specifiche. Vincendo l’asta, il loro link malevolo ottiene la posizione più visibile, spesso sopra i risultati organici.

L’utente, vedendo il dominio “google.com” nell’URL dell’annuncio o fidandosi della vetrina, abbassa la guardia.

Google Ads è attualmente uno dei meccanismi di distribuzione di malware più efficaci in funzione

— Jérôme Segura, Senior Director of Threat Intelligence, Malwarebytes

L’arsenale tecnico dietro un click

La sofisticazione di queste campagne va oltre la semplice pagina fasulla. Per evadere i controlli automatici di Google e i sistemi di sicurezza degli endpoint, i malware utilizzano un arsenale di tecniche di offuscamento. I ricercatori di Kaspersky hanno documentato metodi come l’iniezione di codice direttamente in memoria per evitare di lasciare tracce sul disco e l’uso di servizi cloud legittimi come Dropbox per trasportare i payload malevoli.

Una tattica comune è il “DLL side-loading”, dove una libreria maligna viene camuffata e fatta caricare da un’applicazione legittima. Su Mac, gli “info-stealer” come Atomic Stealer, MacSync o DigitStealer spesso arrivano dentro immagini disco (file .DMG) che sfruttano espedienti di ingegneria sociale, come falsi aggiornamenti browser o finte procedure di risoluzione problemi, noti come “ClickFix”.

La posta in gioco è alta: questi malware non si limitano a rubare credenziali di siti web. Possono accedere all’intero keychain di macOS, svuotare portafogli di criptovalute come Exodus o Atomic Wallet, e rubare file di ogni tipo.

Con i cookie di sessione rubati, gli aggressori possono bypassare l’autenticazione a due fattori e accedere a account di social media, email o banking, aprendo la strada a furti d’identità e perdite finanziarie dirette.

Apple, dal canto suo, non resta a guardare. macOS integra tecnologie come XProtect, un antivirus con signature aggiornate automaticamente, e Gatekeeper, che verifica la notarizzazione delle app. Tuttavia, come spiega la stessa guida sicurezza di Apple, questi sistemi hanno bisogno di aggiornamenti continui per riconoscere le nuove minacce, e il finestrino temporale tra la comparsa di un nuovo malware e la sua firma può essere sfruttato.

Il dilemma economico della moderazione automatizzata

Google è pienamente consapevole del problema e ha un quadro di policy dettagliato per combatterlo. La sua politica sul software malevolo definisce “egregia” la distribuzione intenzionale di malware e prevede la sospensione immediata dell’account. L’azienda afferma di utilizzare una combinazione di tecnologia proprietaria, machine learning e revisori umani per scansionare gli annunci e di bloccare miliardi di annunci dannosi ogni anno.

Il processo di takedown esiste: gli utenti possono segnalare annunci o siti che violano le politiche e Google può ottenere ordini del tribunale per sequestrare domini malevoli.

Tuttavia, il sistema mostra falle evidenti. Gli aggressori sono abili nell’eludere i controlli iniziali, magari presentando un annuncio e una landing page “puliti” per poi modificarli dopo l’approvazione, o sfruttando reti pubblicitarie di terze parti (sub-syndication) non certificate.

Qui emerge il conflitto di interessi strutturale. Google Ads è un colosso da 82 miliardi di dollari di ricavi solo nell’ultimo trimestre del 2025, come rivelano i documenti finanziari depositati alla SEC. Il sistema è progettato per massimizzare l’efficienza e il volume della compravendita pubblicitaria.

Implementare controlli manuali approfonditi per ogni annuncio, specialmente in categorie ad alto rischio come i download software, introdurrebbe attriti e costi enormi, rallentando il motore dei ricavi.

Come ha ammesso un dirigente Google, la fiducia degli utenti è fondamentale perché, se venisse meno, avrebbe “un impatto negativo di più lungo termine sul nostro business”.

È un calcolo di rischio continuo: quanto investire in sicurezza per proteggere la reputazione, senza soffocare il flusso pubblicitario?

Per i criminali informatici, invece, è un gioco dalle probabilità favorevoli: basta che una piccola percentuale di milioni di utenti giornalieri clicchi per rendere la campagna estremamente redditizia.

La tensione tra un ecosistema pubblicitario iper-efficiente e la sicurezza degli utenti non si risolverà con un semplice aggiornamento di policy. Anche l’introduzione dell’intelligenza artificiale nel processo di moderazione, se da un lato scala bene, dall’altro innesca una corsa agli armamenti con aggressori che già sfruttano gli strumenti di AI per avvelenare i risultati e creare contenuti convincenti.

La domanda che resta aperta è fino a che punto la architettura tecnica e il modello di business di una piattaforma fondata sulla pubblicità contestuale possano essere riconciliati con la garanzia di non fare danni.

Quando la ricerca di “Google Chrome” su Google può portare a un malware, il contratto di fiducia fondamentale su cui poggia il web moderno mostra crepe profonde.

Gli utenti Mac, che hanno pagato un premium per la percezione di un ambiente più sicuro, si trovano ora in prima linea, non perché il loro sistema sia più vulnerabile, ma perché la loro fiducia ha un valore di mercato più alto per chi vende annunci e per chi li compra per ingannarli.

Scritto da Luca Verdi

Developer e tech writer. Spiega la tecnologia dal punto di vista tecnico senza perdere di vista l'accessibilità. Ex software engineer, ora si dedica al giornalismo tech.

L’India è il nuovo campo di battaglia dell’IA, e i giganti tech americani stanno scaricando miliardi per conquistarla

Mentre tutti inseguono i giganti, NVIDIA scommette sui modelli piccoli: Nemotron 3 Nano arriva su Amazon Bedrock

Amazon dichiara guerra ai 12 minuti di noia: così Fire TV e il nuovo Ember Artline vogliono cambiare le nostre serate

Il paradosso Amazon: vetrina chiusa, pubblicità a pagamento

Categories

Pages

Newsletter

Non perdere nemmeno un articolo.

Google Ads distribuisce malware su Mac: Atomic Stealer colpisce utenti TradingView

La piattaforma è sfruttata per piazzare download infetti in cima alle ricerche attraverso annunci ingannevoli, mettendo a rischio anche gli utenti Apple

L’arsenale tecnico dietro un click

Il dilemma economico della moderazione automatizzata

La piattaforma è sfruttata per piazzare download infetti in cima alle ricerche attraverso annunci ingannevoli, mettendo a rischio anche gli utenti Apple

L’arsenale tecnico dietro un click

Il dilemma economico della moderazione automatizzata

Articoli correlati

Apple: I ricavi record nascondono un costo per la privacy nel 2025

Apple: Da Azienda Innovativa a Bene Rifugio Finanziario?

Apple nel 2026: Tra Intelligenza Artificiale, Regolamentazione e Cina