Gli hacker usano i siti che visiti ogni giorno per attaccarti — ecco come proteggerti

Cosa è successo

Negli ultimi attacchi riportati, siti popolari come New York Times, BBC, MSN, Answers.com e AOL.com sono stati usati per mostrare annunci malevoli. Decine di migliaia di visitatori che hanno cliccato sugli annunci o li hanno semplicemente visualizzati sono stati reindirizzati a pagine che lanciavano attacchi automatici tramite l’Angler exploit kit.

Angler, una volta riuscito a eseguire codice sul browser della vittima, installa tipicamente il ransomware TeslaCrypt o il trojan Bedep. Il risultato è stato duplice: file cifrati e richieste di riscatto, oppure la presenza di ulteriore malware e botnet sul sistema compromesso.

Come funziona il malvertising

• I criminali acquistano domini scaduti riconducibili a società di marketing legittime per apparire credibili.
• Con questi domini comprano spazio pubblicitario su grandi reti (es. DoubleClick, Adnxs, Rubicon, AOL, AppNexus, Taggify).
• Inseriscono codice malevolo negli annunci o nelle landing page. Il codice verifica la presenza di antivirus specifici e si disattiva su macchine “sospette” per evitare il rilevamento.
• Se trova vulnerabilità (browser obsoleti, Flash, Java, Silverlight o plugin non aggiornati), sfrutta exploit per eseguire payload dannosi.

Perché è pericoloso

Il vettore è insidioso perché sfrutta piattaforme pubblicitarie legittime: la vittima non visita siti chiaramente dannosi, ma siti affidabili che ospitano inserzioni compromesse. Inoltre, il codice malevolo può evitare l’esecuzione su macchine analizzate dai ricercatori o dotate di specifici antivirus.

Importante: aggiornare e limitare i privilegi utente riduce notevolmente il rischio di infezione e la sua gravità.

Come proteggerti — misure immediate per tutti gli utenti

• Mantieni aggiornati sistema operativo e browser con le ultime patch.
• Aggiorna l’antivirus e le definizioni dei malware.
• Aggiorna o rimuovi plugin del browser: Adobe Flash, Java, Silverlight e simili. Meglio impostarli su “click-to-play” o disabilitarli del tutto.
• Usa un account utente standard (non amministratore) per la navigazione quotidiana: come riportato, questo semplice cambiamento blocca molte installazioni automatiche e riduce l’impatto di infezioni.
• Usa un ad blocker affidabile (es. uBlock Origin) e un contenitore di script (es. NoScript o ScriptSafe) se navighi siti poco conosciuti.
• Considera un browser separato per operazioni rischiose (home banking, shopping) e un browser “di lavoro” con estensioni ridotte.
• Abilita l’aggiornamento automatico per browser e plugin quando possibile.

Misure aggiuntive per utenti avanzati e amministratori

• Implementa politiche di Content Security Policy (CSP) sui siti aziendali per limitare l’esecuzione di script esterni.
• Utilizza soluzioni di isolamento del browser (browser isolation) per imprese che gestiscono traffico sensibile.
• Applica whitelisting per estensioni e plugin nei profili aziendali.
• Monitora le reti per traffico anomalo verso domini appena registrati o scaduti.

Cosa fare se sospetti un’infezione — playbook rapido

1. Disconnetti la macchina dalla rete e spegni Wi‑Fi/ethernet.
2. Non riavviare inutilmente: conserva lo stato per l’analisi se possibile.
3. Avvisa il team IT o un esperto di sicurezza.
4. Esegui una scansione con più motori antivirus (anche da supporto avviabile) e strumenti anti‑malware aggiornati.
5. Ripristina i file da backup puliti se il malware ha cifrato i dati; evita pagamenti di riscatto come prima opzione.
6. Se necessario, formatta e reinstalla il sistema operativo da supporto sicuro.
7. Cambia le credenziali usate dalla macchina compromessa e monitora gli account per attività sospette.
8. Documenta l’incidente: orari, domini visitati, log di rete, file interessati.

Checklist per ruolo

• Utente finale:

  • Aggiorna OS e browser.
  • Usa account non amministratore.
  • Installa un ad blocker e imposta plugin su click-to-play.
  • Esegui backup regolari.

• Amministratore IT:

  • Forza politiche di aggiornamento e gestione patch.
  • Limitare i privilegi tramite GPO o equivalenti.
  • Implementare filtraggio DNS/URL a livello di rete.
  • Disporre di procedure di isolamento e ripristino.

• Webmaster / Publisher:

  • Verificare i fornitori pubblicitari e il flusso delle creatività.
  • Monitorare le landing e i redirect degli annunci.
  • Usare firming e firme digitali sulle creatività quando possibile.

Modelli mentali e quando le difese falliscono

• Pensare alla pubblicità come a una supply chain: comprometti un fornitore e l’infezione si propaga.
• Le soluzioni difensive riducono la probabilità di successo ma non l’eliminano del tutto, soprattutto contro zero‑day e tecniche di evasione.
• La strategia più efficace è la difesa stratificata: aggiornamenti, riduzione dei privilegi, filtraggio e isolamento.

Glossario (una riga ciascuno)

• Malvertising: uso di annunci pubblicitari per distribuire codice malevolo.
• Exploit kit: pacchetto che sfrutta vulnerabilità del software per eseguire codice dannoso.
• Ransomware: malware che cifra file e chiede un riscatto per sbloccarli.
• Trojan: programma che sembra legittimo ma esegue azioni dannose in background.

Note su privacy e conformità

Se l’incidente coinvolge dati personali, seguire le procedure locali di segnalazione (es. notifiche previste dal GDPR per i titolari di dati). Conservare log e prove in modo da poter documentare l’evento senza esporre ulteriori informazioni sensibili.

Riepilogo

• Il malvertising sfrutta reti pubblicitarie legittime per diffondere exploit.
• Aggiornamenti, account non amministratore e blocco degli script riducono fortemente il rischio.
• In caso di infezione, isolare la macchina, eseguire scansioni e ripristinare da backup.

Importante: nessuna misura singola elimina il rischio. Applica più contromisure in parallelo e mantieni procedure di risposta agli incidenti pronte.