Account Google Ads e AI abusati per diffondere MacSync via ClickFix
Google blocca attacco MacSync su macOS: sfruttati Google Ads e Claude AI tramite account compromessi, evidenziando falle di sicurezza.
L’attacco, tecnicamente sofisticato, ha sfruttato la pubblicità a pagamento sui motori di ricerca e l’intelligenza artificiale conversazionale per convincere gli utenti macOS a scaricare il temuto infostealer MacSync.
Il 14 febbraio 2026, mentre molti erano distratti da altro, Google ha dovuto neutralizzare in fretta e furia una campagna pubblicitaria che stava usando la sua stessa piattaforma per diffondere malware.
L’attacco, tecnicamente sofisticato e socialmente ingegnoso, ha sfruttato due pilastri della fiducia digitale moderna: la pubblicità a pagamento sui motori di ricerca e l’intelligenza artificiale conversazionale.
Il bersaglio erano gli utenti macOS, convinti con un pretesto tecnico a incollare un comando apparentemente innocuo nel Terminale, che invece scaricava il temuto infostealer MacSync.
La vicenda non è solo l’ennesimo allarme malware, ma un caso studio su come le difese perimetrali delle grandi piattaforme possano essere aggirate sfruttando proprio la loro architettura e la fiducia che gli utenti ripongono in esse.
La campagna, identificata dal Google Threat Intelligence Group (GTIG), utilizzava una tecnica di social engineering nota come “ClickFix”.
Il meccanismo è subdolo nella sua semplicità: l’utente, cercando una soluzione a un presunto problema tecnico su Google, si imbatteva in un annuncio sponsorizzato.
Cliccandoci sopra, veniva indirizzato non a un sito web tradizionale, ma a una pagina pubblica condivisa su una piattaforma di AI generativa, come un “artefatto” di Claude AI, che presentava una guida dal titolo rassicurante come “macOS Secure Command Execution”.
La guida istruiva l’utente a copiare e incollare nel Terminale un comando codificato in base64, promettendo di risolvere un errore o verificare la sicurezza del sistema.
Quel comando era, in realtà, un loader che scaricava ed eseguiva il malware MacSync Stealer, progettato per rubare credenziali, chiavi API e dati di portafogli crittografici.
Il GTIG ha osservato come i threat actor stiano sempre più abusando la funzione di condivisione pubblica di servizi di AI generativa per ospitare contenuti di social engineering ingannevoli.
Il punto debole non era il codice, ma la fiducia accumulata
La domanda cruciale è: come hanno fatto questi annunci malevoli a superare i controlli di Google Ads, che solo nel 2024 ha bloccato 5,5 miliardi di annunci “cattivi”?
La risposta sta in una vulnerabilità di processo, non tecnica.
Gli attaccanti non hanno creato account pubblicitari nuovi da zero, soggetti a verifiche più stringenti.
Hanno invece dirottato account Google Ads legittimi e già verificati, appartenenti ad entità reali come una charity canadese per l’infanzia e un rivenditore colombiano di orologi.
Questi account godevano di una reputazione consolidata e di una storia di attività pulita, fattori che hanno permesso agli annunci malevoli di bypassare i controlli di sicurezza iniziali di Google senza innescare allarmi di verifica.
È stato l’equivalente digitale di travestirsi da dipendente fidato usando il suo badge: i sistemi automatici, che si basano su pattern e reputazione, hanno visto un comportamento apparentemente normale provenire da una fonte considerata affidabile.
Questo sfruttamento di account legittimi evidenzia un paradosso delle difese su scala: più un sistema è automatizzato e basato sulla reputazione storica, più diventa vulnerabile al furto di identità digitali di alta qualità.
La sicurezza non può limitarsi a valutare cosa viene pubblicizzato, ma deve continuamente riesaminare chi lo sta facendo, anche se si tratta di un attore noto da anni.
Google, dal canto suo, sottolinea di utilizzare un mix di intelligenza artificiale e revisione umana, e che la maggior parte degli annunci dannosi viene bloccata prima ancora di essere visualizzata.
Tuttavia, casi come questo dimostrano che quando gli avversari investono nello studio e nel compromesso di account “puliti”, il modello può incepparsi.
Le difese dell’ai e la corsa agli armamenti digitale
Dall’altro lato della barricata c’è Anthropic, la società creatrice di Claude AI, la cui piattaforma è stata abusata per ospitare le istruzioni malevole.
L’azienda non è nuova a queste sfide e ha costruito un apparato di sicurezza stratificato.
I suoi modelli sono governati da una Usage Policy che vieta esplicitamente l’uso per generare contenuti malevoli e impiega una combinazione di sistemi automatizzati e revisione umana per rilevare i danni e far rispettare le policy in tempo reale.
In casi gravi, gli account possono venire bannati o terminati.
Anthropic ha anche un team dedicato al threat intelligence che indaga casi sofisticati di uso improprio nel mondo reale e ha già affrontato episodi significativi.
Ad agosto 2025, ad esempio, ha disinnescato l’attività di un cybercriminale che usava Claude Code per commettere furto e estorsione di dati personali su larga scala, colpendo almeno 17 organizzazioni.
Poco dopo, a settembre, ha identificato una campagna di spionaggio sofisticata in cui gli attaccanti manipolavano Claude Code per tentare l’infiltrazione in circa trenta target globali, usando le capacità “agenti” dell’AI in modo senza precedenti.
Nonostante questi sforzi, l’azienda riconosce onestamente che i criminali informatici tentano continuamente di trovare modi per eludere le sue misure di sicurezza, in una perpetua corsa agli armamenti.
La domanda che rimane aperta, dopo che i conti sono stati chiusi e il malware bloccato, è fino a che punto il modello di business della pubblicità online – basato sulla velocità di pubblicazione e sul targeting – sia conciliabile con la sicurezza informatica estrema che oggi sarebbe necessaria.
Google vende, giustamente, la capacità di raggiungere immediatamente un pubblico vasto e mirato.
Ma quella stessa immediatezza e quella stessa precisione sono l’arma perfetta per chi vuole colpire un gruppo specifico di utenti (in questo caso, tecnici e utenti macOS) con un messaggio credibile e contestuale.
La risposta non può essere solo a posteriori, per quanto efficiente.
Richiede forse un ripensamento di come la reputazione digitale venga costruita, verificata e monitorata in tempo reale, in un’epoca in cui l’identità è il nuovo perimetro da difendere.
