VPN false su Google: attenzione ai finti download che rubano password

VPN false su Google: attenzione ai finti download che rubano password
Sicurezza · VPN · Aggiornato: 6 luglio 2026
Analisi basata sull'advisory ufficiale Microsoft Security.

Microsoft ha scoperto siti falsi che spingono il download di finti client VPN in cima ai risultati di ricerca. Il caso specifico riguarda client VPN aziendali, ma il metodo puΓ² essere replicato con qualsiasi software cercato online. Ecco cosa controllare prima di scaricare.

Fonte della notizia

Microsoft Defender Experts ha individuato la campagna a metΓ  gennaio 2026, attribuendola al gruppo Storm-2561. Microsoft collega Storm-2561 a campagne osservate da maggio 2025, basate su SEO poisoning e impersonificazione di software noti.

Trasparenza

Questo articolo Γ¨ informativo. Eventuali consigli o link commerciali saranno sempre indicati in modo trasparente.

In breve

Il gruppo Storm-2561 fa comparire siti falsi in cima ai risultati di ricerca per chi cerca client VPN aziendali. Chi clicca scarica un installer malevolo che ruba le credenziali. Lo stesso schema puΓ² colpire anche altre ricerche di software popolare.

Scoperta
MetΓ  gennaio 2026 Microsoft Defender Experts individua la campagna Storm-2561.
Brand imitati
Diversi brand enterprise Tra cui Fortinet, Ivanti, Cisco, SonicWall.
Canale malware
GitHub ZIP con installer firmato, ospitato su repository poi rimossi.

Cerchi una VPN online, il primo risultato ha il logo giusto e il nome che ti aspetti. Lo scarichi, inserisci le credenziali — e le hai appena consegnate a un criminale. È lo schema che Microsoft ha appena documentato, e il principio vale per chiunque cerchi e scarichi software da un motore di ricerca, non solo per chi usa VPN aziendali.

✍️ Rocco Caiazza — Fondatore di ScelgoIo | Luglio 2026

VPN false su Google: attenzione ai finti download che rubano password

Da tempo parlo di truffe digitali che colpiscono utenti comuni — phishing via WhatsApp, malware travestiti da app innocue, pagine trovate online che imitano marchi noti. Il caso Microsoft di cui parlo oggi riguarda in modo specifico le VPN aziendali, ma la tecnica usata dai criminali funziona con qualsiasi software cercato — Γ¨ per questo che vale la pena conoscerla anche se non usi Fortinet o Cisco.

01

Cos'Γ¨ successo e come funziona l'attacco

Il gruppo, che Microsoft traccia come Storm-2561, manipola i risultati di ricerca con tecniche di SEO poisoning per far comparire pagine false in cima alle ricerche per client VPN aziendali. Chi clicca viene reindirizzato a domini costruiti apposta per sembrare ufficiali a un occhio distratto.

Questa parte Γ¨ per chi vuole il dettaglio tecnico. Se vuoi solo sapere come proteggerti, puoi saltarla e andare direttamente ai segnali d'allarme piΓΉ sotto.

Per i tecnici: la catena tecnica dell'attacco
Il sito falso rimanda in alcuni casi osservati a un repository GitHub (poi rimosso) che ospita un file ZIP con un installer MSI. Durante l'installazione, l'MSI carica in modo laterale due DLL: una funge da loader in memoria, l'altra — identificata come variante dell'infostealer Hyrax — legge le credenziali VPN inserite e i dati di configurazione salvati, inviandoli a un'infrastruttura controllata dagli attaccanti. Microsoft ha rilevato che i file erano firmati con un certificato valido, poi revocato una volta scoperta la campagna.
In parole semplici

In alcuni casi osservati, dopo il furto il finto client mostra un messaggio di "installazione fallita" e indirizza la vittima al sito ufficiale. Se poi tutto funziona normalmente, la vittima pensa solo di aver avuto un problema tecnico — Γ¨ il passaggio piΓΉ insidioso di questa campagna.

02

PerchΓ© riguarda anche te, non solo le aziende

I brand imitati in questa campagna specifica sono client VPN aziendali usati per l'accesso remoto — Fortinet, Ivanti, Cisco, SonicWall tra gli altri. Ma il punto centrale non Γ¨ quale VPN cerchi: il metodo del SEO poisoning Γ¨ perΓ² replicabile anche con ricerche legate a VPN consumer molto conosciute, se un criminale crea pagine false che le imitano.

È lo stesso principio di fondo che ho già documentato con il malware SparkCat: software che sembra legittimo, spesso firmato digitalmente, che si comporta normalmente mentre sottrae dati in background. Cambia il bersaglio, non la logica dell'inganno.

Lavoratori da remoto Chi si connette alla rete aziendale da casa o in viaggio.
Chi cerca e scarica software da un motore di ricerca Lo stesso schema puΓ² in linea di principio colpire chi cerca una VPN personale conosciuta.
Chi riusa le stesse password Se la password rubata Γ¨ condivisa con altri account, il danno si estende oltre l'accesso VPN.
03

I segnali per riconoscere un sito VPN falso

Prima di scaricare qualsiasi client VPN, aziendale o personale, controlla sempre questi quattro punti.

1
Controlla l'indirizzo della pagina Domini con trattini extra, parole aggiunte come "free-download" o lettere sospette sono un segnale d'allarme immediato.
2
Scarica solo dalla fonte ufficiale Se il tuo IT ha fornito un link, usa solo quello. Diffida di link sui social o in risultati sponsorizzati poco chiari.
3
Non ignorare gli avvisi di sicurezza Se Windows Defender o il browser segnalano un rischio durante il download, fermati e verifica.
4
Diffida di ZIP o MSI da pagine non ufficiali Un client VPN ufficiale non dovrebbe arrivare da un archivio ZIP casuale o da un repository non verificato.
Quick checklist — prima di scaricare un client VPN
Il link ti Γ¨ stato dato dal tuo IT? Usa solo quello, non cercarlo tu stesso online.
Il dominio corrisponde esattamente a quello ufficiale? Controlla ogni lettera, non solo il colpo d'occhio.
Il download parte da GitHub o da uno ZIP anonimo? Un client VPN ufficiale raramente si scarica così.
Riusi la stessa password altrove? Cambiala ovunque se hai anche il minimo dubbio.
04

Cosa fare adesso, in pratica

Se hai installato di recente un client VPN scaricato al di fuori dei canali ufficiali, conviene verificare subito il dispositivo. Ho giΓ  spiegato passo per passo come capire se un dispositivo Γ¨ stato compromesso: gli stessi segnali valgono anche per un PC di lavoro.

1
Cambia subito la password VPN Anche solo in caso di dubbio, e avvisa chi gestisce l'accesso remoto.
2
Disinstalla l'installer sospetto Anche se sembra funzionare normalmente, rimuovilo e scarica solo dal sito ufficiale.
3
Attiva l'autenticazione a due fattori Microsoft consiglia proprio questo nella sua advisory: una password rubata da sola non basta se serve un secondo fattore.
4
Non farti prendere dal panico Il rischio non Γ¨ usare una VPN, ma da dove la scarichi — vale lo stesso principio delle truffe piΓΉ diffuse via WhatsApp.
πŸ“š Fonti per approfondire
05

Domande frequenti

Questa minaccia riguarda anche le VPN consumer come NordVPN o ExpressVPN? +
La campagna documentata da Microsoft impersona client VPN aziendali, non brand consumer specifici. Il metodo, perΓ², Γ¨ replicabile con qualsiasi VPN o software popolare, quindi conviene controllare sempre la fonte prima di scaricare.
Come faccio a sapere se sono giΓ  stato colpito? +
In alcuni casi osservati il malware reindirizza al sito ufficiale dopo il furto, senza lasciare sintomi evidenti. Se hai scaricato un client VPN da un link non ufficiale di recente, verifica il dispositivo e cambia la password per sicurezza.
PerchΓ© un file dannoso puΓ² essere firmato digitalmente? +
Gli attaccanti hanno usato un certificato valido, poi revocato una volta scoperta la campagna. La firma riduce gli avvisi di sicurezza del sistema ma non garantisce la legittimitΓ  del contenuto.
Le estensioni VPN per il browser sono piΓΉ sicure? +
Non necessariamente: vanno installate solo da store ufficiali, e proteggono solo il traffico del browser — non l'intero dispositivo come fa un client VPN vero e proprio.
Cosa devono fare le piccole imprese senza un reparto IT? +
Fornire ai dipendenti un link diretto e verificato al client VPN, invece di lasciare che ognuno lo cerchi da sΓ©, e attivare l'autenticazione a due fattori sull'accesso VPN.
Rocco Caiazza
Rocco Caiazza Fondatore di ScelgoIo · Luglio 2026
Chi Γ¨ Rocco →

Autore: Rocco Caiazza – Fondatore di ScelgoIo