Mark leggeva il New York Times durante la pausa pranzo. Non ha cliccato su nessun link, non ha scaricato nessun allegato, non ha installato niente. Una settimana dopo, il suo laptop aziendale e altri quattro del suo team comparivano su una dashboard ransomware nel dark web. L'analisi forense ha tirato fuori un unico punto in comune: un banner pubblicitario sulla home di un sito di news, avvelenato tra le undici e mezzogiorno.
Questo è il malvertising. Un attaccante infila codice malevolo in un ad network legittimo, e chiunque carichi quel banner nel proprio browser viene attaccato senza cliccare nulla. Il sito su cui sei è legittimo. L'ad network è legittimo. È l'ad unit che ti serve un JavaScript che sonda il browser e, se trova una vulnerabilità nota, ti esegue codice addosso prima che tu abbia finito di leggere questa frase.
Cos'è davvero il malvertising
Le pubblicità sul web non te le serve l'editore del sito. Vengono battute all'asta in tempo reale su marketplace programmatici, passano per decine di intermediari e, dopo uno o quattro redirect, il creative finale finisce dentro un iframe sulla pagina che stai leggendo in questo momento. Ogni redirect è un'occasione per mostrare qualcosa di diverso da ciò che l'editore aveva approvato.
È proprio questa complessità che il malvertising sfrutta. L'attaccante compra ad space come un cliente qualsiasi. All'inizio serve creative pulite, supera il processo di review, poi qualche giorno dopo passa al payload malevolo. Oppure si impossessa dell'account di un compratore legittimo e infila il proprio codice in campagne già in corso.
Il risultato è lo stesso. Un sito affidabile ti mostra un banner capace di attaccarti. Il sito non ha fatto nulla di sbagliato. Nemmeno tu. L'attacco accade dentro un frame che né tu né il sito potete controllare.
Come una pubblicità malevola si prende il tuo browser
L'attacco si gioca in quattro fasi, e tutte e quattro finiscono prima ancora che il banner si veda.
Probe. Lo script nell'iframe dell'annuncio legge il tuo user agent, la versione del browser, i plugin, il fuso orario e qualche caratteristica del dispositivo. In meno di 50 millisecondi sa se vali la pena come bersaglio. I laptop aziendali con browser datati passano in cima, gli Android personali vengono saltati, gli ambienti noti dei ricercatori di sicurezza vengono scartati.
Match. Lo script confronta la tua firma con un catalogo di exploit. Exploit kit come RIG, Fallout o i successori più recenti in stile Magnitude tengono pronta una libreria di vulnerabilità note, spesso ancora senza patch.
Deliver. Se un exploit calza, l'iframe carica un payload di seconda fase. Può essere una chiamata manipolata al lettore PDF, uno shader WebGL o un bug JIT nel motore JavaScript, insomma qualunque cosa rompa la sandbox del browser sulla tua build specifica.
Execute. A quel punto sta già girando codice estraneo con i tuoi permessi. Installa un infostealer, un cryptominer o l'accesso iniziale che poi un gruppo ransomware riutilizzerà. Per tutto questo tempo il banner si mostra normalmente, così non ti viene in mente che ci sia qualcosa che non va.
Incidenti su siti che conosci
Il malvertising non è un rischio teorico. New York Times, BBC, MSN, AOL e la home di Yahoo si sono ritrovati tutti, in momenti diversi, a fare da centro di distribuzione di malware tramite ad network, di solito senza accorgersene fino a quando un ricercatore di sicurezza non ha reso pubblica la campagna.
Forbes per qualche anno ha bloccato i lettori con ad blocker chiedendo loro di disattivarli. Dopo che in molti hanno dato retta, la rivista si è ritrovata a distribuire malware dal proprio inventario pubblicitario, due volte, nel giro di poche settimane. Il problema non è l'editore. Il problema è la catena di fornitura della pubblicità.
impression pubblicitarie può veicolare codice malevolo
vita media di una campagna prima di essere individuata
aumento degli incidenti di malvertising segnalati nel 2024-2025
Perché antivirus e ad blocker non bastano
L'antivirus classico confronta i file con le firme di malware noto. Il malvertising, però, recapita codice che non ha mai toccato un disco. Il payload gira direttamente in memoria, spesso da un blob WebAssembly, e alla fine si ripulisce da solo. Non c'è nulla che uno scanner AV classico possa vedere. La versione lunga è qui: Why Antivirus Fails.
Gli ad blocker aiutano ma non sono una cura. Bloccano gli ad server noti. Gli attaccanti che comprano campagne tramite ad network legittimi, per definizione, su quelle blocklist non ci sono. In più, ormai parecchi siti servono gli annunci dalla loro stessa infrastruttura, e lì un blocker non può intervenire senza rompere la pagina.
I browser vengono patchati ogni mese, però tra la disclosure e il rollout su larga scala passano spesso diverse settimane. In quella finestra gli exploit kit si aggiornano. Se il tuo browser è stato patchato ieri ma gli attaccanti conoscono l'exploit da quattro settimane, sono comunque quattro settimane avanti.
Navigare senza essere il bersaglio
L'unica difesa davvero affidabile contro il malvertising è staccare il browser dalla macchina su cui stanno i tuoi dati. Se il tuo browser gira in un ambiente isolato, l'exploit parte lo stesso, ma colpisce una VM usa e getta che scompare insieme alla sessione. Il payload non atterra sulla tua macchina, atterra in un container che la piattaforma ricrea prima di darlo in mano all'utente successivo.
Per la navigazione sensibile, conviene fare di questa separazione la regola. Ricerche su siti sconosciuti, lettura delle news in piena campagna attiva, apertura di un link arrivato via newsletter: sono tutti momenti in cui un browser isolato contiene i danni prima ancora che succeda qualcosa. Il browser di tutti i giorni resta riservato ai siti di cui ti fidi, quelli in cui sei già loggato.
Vuoi un vero desktop su qualunque dispositivo?
Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.
Avvia il tuo desktop nel browserNiente download • Funziona ovunque
