Google Ads malevoli colpiscono gli utenti di criptovalute: come proteggere il tuo portafoglio

Google Ads malevoli colpiscono gli utenti di criptovalute: come proteggere il tuo portafoglio

Google Ads malevoli colpiscono gli utenti di criptovalute: come proteggere il tuo portafoglio

Introduzione: il rischio nascosto negli annunci di ricerca

Se stai cercando un’app DeFi legittima o un portafoglio di criptovalute su Google, potresti imbatterti in annunci pubblicitari fraudolenti progettati per rubare i tuoi fondi. Questi annunci malvagi replicano perfettamente i siti legittimi, inducendo gli utenti a inserire le loro frasi di recupero o a firmare transazioni che trasferiscono i loro asset ai criminali informatici.

La soluzione rapida: non utilizzare mai Google Search per accedere a portafogli o app DeFi. Usa sempre i segnalibri salvati o URL verificati indipendentemente. Non inserire mai frasi di recupero, chiavi private o dati di accesso in moduli web, specialmente quelli raggiunti tramite annunci pubblicitari.

Come funzionano gli attacchi

I criminali sfruttano Google Ads per lanciare campagne sofisticate che rubano criptovalute attraverso due metodi principali: il furto di frasi di recupero e lo svuotamento automatico dei portafogli.

Nei primi mesi del 2026, le operazioni malvage hanno raggiunto il picco, con centinaia di URL malevoli lanciati ogni settimana. Gli attaccanti utilizzano account pubblicitari hackerati o acquistati nel mercato nero, talvolta persino account verificati di grandi marchi, per far apparire i loro annunci come legittimi.

L’architettura tecnica dell’inganno

Gli attaccanti sfruttano proprietà Google di alto valore, come sites.google.com, docs.google.com e business.google.com, come “frame primario” per i loro annunci. Questo fa sì che Google Search mostri un URL, un titolo, una descrizione e un logo che sembrano indistinguibili da un progetto legittimo.

Dietro questa facciata, il payload malevolo è ospitato in iframe secondari e infrastrutture esterne. I sistemi di controllo automatico di Google spesso ispezionano solo il wrapper benigno, perdendo la vera superficie di attacco.

Tipi di minacce comuni

Drainer (svuotatori di portafoglio)

I drainer basati su JavaScript ingannano gli utenti facendoli firmare transazioni blockchain malevole nel browser. L’interfaccia continua a funzionare normalmente mentre il controllo dei tuoi asset viene silenziosamente trasferito ai criminali. I drainer più comuni tracciati includono Inferno Drainer e Vanilla Drainer.

Furto di frasi di recupero

I criminali clonano siti di portafogli hardware come Ledger, chiedendo agli utenti di inserire la loro frase di recupero. Altre campagne distribuiscono estensioni browser malevole tramite link del Chrome Web Store per catturare frasi di recupero e dati del portafoglio.

Servizi drainer-as-a-service

Gli operatori di drainer-as-a-service forniscono offuscamento, distribuzione automatizzata e infrastruttura di generazione di transazioni in cambio di circa il 20% di ogni furto riuscito. Questo rende facile per criminali meno esperti lanciare campagne su larga scala.

Segnali di avvertimento da riconoscere

Prima di visitare un sito di criptovalute da un annuncio, verifica:

  • L’URL proviene da una ricerca Google o da un segnalibro salvato?
  • Il sito carica immagini di token da fonti legittime come CoinGecko?
  • Ti viene chiesto di inserire la tua frase di recupero o chiave privata?
  • L’interfaccia sembra una copia pixel-perfect di un’app popolare?

Se noti qualcosa di strano, esci immediatamente e accedi al sito tramite un segnalibro salvato.

Come proteggere i tuoi asset

Pratiche di sicurezza essenziali

Evita di affidarti a Google Search per raggiungere portafogli o app DeFi. Invece:

  • Utilizza solo segnalibri fidati e URL verificati in modo indipendente
  • Accedi ai servizi tramite portali di indicizzazione specifici per criptovalute come DefiLlama
  • Non inserire mai frasi di recupero, chiavi private o dati di recupero in moduli web
  • Disabilita le estensioni browser sconosciute dal Chrome Web Store
  • Verifica i certificati SSL e i dettagli del dominio prima di inserire credenziali

Per le organizzazioni di criptovalute

Le organizzazioni dovrebbero monitorare gli annunci Google fraudolenti che si impersonano i loro servizi e segnalarli a Google rapidamente. Fornisci ai tuoi utenti guide sulla sicurezza degli annunci e scoraggia l’accesso tramite ricerca.

Il problema più ampio

I ricercatori di sicurezza hanno bloccato centinaia di URL malevoli in poche settimane, ma gli attaccanti lanciano continuamente nuovi annunci e pagine di destinazione man mano che i vecchi vengono disattivati. Google ha sospeso gli account degli inserzionisti identificati, ma i rapporti di incidenti continuano ad arrivare, indicando che l’abuso dell’ecosistema è tutt’altro che contenuto.

Questo crea un gioco del gatto e del topo continuo in cui i fornitori di sicurezza possono limitare i danni ma non possono risolvere completamente l’abuso sulle piattaforme pubblicitarie.

Technical Deep Dive

Architettura a tre livelli

Le campagne avanzate utilizzano un’architettura web a tre livelli per eludere il rilevamento e massimizzare il controllo sulle interazioni delle vittime:

  1. Documento di ingresso: un piccolo file ospitato su domini supportati da Arweave, come arweave.mainnet.irys.xyz, che falsifica completamente i metadati del protocollo di destinazione

  2. Front-end clonato: un’istanza Cloudflare Workers su *.workers.dev via variabile di configurazione hardcoded che serve una copia quasi pixel-perfect di siti come Uniswap, anche caricando immagini di token da fonti legittime

  3. Proxy MITM: un livello proxy trasparente che reindirizza tutto il traffico API, GraphQL e RPC di Ethereum attraverso domini controllati dagli attaccanti come thirdtemple.top

Tecniche di offuscamento

I payload offuscati memorizzati su *.irys.xyz si affidano a costruzione di codice runtime e stringhe compresse coerenti con famiglie di drainer sofisticate. Questo consente agli operatori di:

  • Ottenere visibilità completa su saldi e transazioni dei portafogli
  • Iniettare payload malevoli personalizzati in base agli asset della vittima
  • Cancellare cache e simulare il comportamento normale del browser per evitare il rilevamento

Evasione automatizzata

Molte campagne sono fortemente automatizzate. Quando un URL viene bloccato a livello di portafoglio da difese come blocklist open-source, il backend si riavvia rapidamente con nuovi creativi pubblicitari e URL di pagine di destinazione. Alcuni nascondono il payload finale dietro più iframe concatenati che imitano sistemi commerciali di distribuzione del traffico.

Indicatori tecnici di compromissione

I ricercatori di sicurezza possono identificare queste campagne monitorando:

  • Domini Arweave/Irys con configurazioni sospette
  • Istanze Cloudflare Workers che fungono da proxy
  • Pattern di offuscamento JavaScript comuni alle famiglie di drainer note
  • Domini di reindirizzamento del traffico RPC non autorizzati
  • Fingerprinting del browser e cloaking nei parametri della query

Fonte: https://gbhackers.com/google-ads-hit-crypto-users/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto