VPN false su Google: attenzione ai finti download che rubano password
Microsoft ha scoperto siti falsi che spingono il download di finti client VPN in cima ai risultati di ricerca. Il caso specifico riguarda client VPN aziendali, ma il metodo puΓ² essere replicato con qualsiasi software cercato online. Ecco cosa controllare prima di scaricare.
Microsoft Defender Experts ha individuato la campagna a metΓ gennaio 2026, attribuendola al gruppo Storm-2561. Microsoft collega Storm-2561 a campagne osservate da maggio 2025, basate su SEO poisoning e impersonificazione di software noti.
Questo articolo Γ¨ informativo. Eventuali consigli o link commerciali saranno sempre indicati in modo trasparente.
In breve
Il gruppo Storm-2561 fa comparire siti falsi in cima ai risultati di ricerca per chi cerca client VPN aziendali. Chi clicca scarica un installer malevolo che ruba le credenziali. Lo stesso schema puΓ² colpire anche altre ricerche di software popolare.
Cerchi una VPN online, il primo risultato ha il logo giusto e il nome che ti aspetti. Lo scarichi, inserisci le credenziali — e le hai appena consegnate a un criminale. Γ lo schema che Microsoft ha appena documentato, e il principio vale per chiunque cerchi e scarichi software da un motore di ricerca, non solo per chi usa VPN aziendali.
✍️ Rocco Caiazza — Fondatore di ScelgoIo | Luglio 2026
VPN false su Google: attenzione ai finti download che rubano password
Da tempo parlo di truffe digitali che colpiscono utenti comuni — phishing via WhatsApp, malware travestiti da app innocue, pagine trovate online che imitano marchi noti. Il caso Microsoft di cui parlo oggi riguarda in modo specifico le VPN aziendali, ma la tecnica usata dai criminali funziona con qualsiasi software cercato — Γ¨ per questo che vale la pena conoscerla anche se non usi Fortinet o Cisco.
Cos'Γ¨ successo e come funziona l'attacco
Il gruppo, che Microsoft traccia come Storm-2561, manipola i risultati di ricerca con tecniche di SEO poisoning per far comparire pagine false in cima alle ricerche per client VPN aziendali. Chi clicca viene reindirizzato a domini costruiti apposta per sembrare ufficiali a un occhio distratto.
Questa parte Γ¨ per chi vuole il dettaglio tecnico. Se vuoi solo sapere come proteggerti, puoi saltarla e andare direttamente ai segnali d'allarme piΓΉ sotto.
In alcuni casi osservati, dopo il furto il finto client mostra un messaggio di "installazione fallita" e indirizza la vittima al sito ufficiale. Se poi tutto funziona normalmente, la vittima pensa solo di aver avuto un problema tecnico — Γ¨ il passaggio piΓΉ insidioso di questa campagna.
PerchΓ© riguarda anche te, non solo le aziende
I brand imitati in questa campagna specifica sono client VPN aziendali usati per l'accesso remoto — Fortinet, Ivanti, Cisco, SonicWall tra gli altri. Ma il punto centrale non Γ¨ quale VPN cerchi: il metodo del SEO poisoning Γ¨ perΓ² replicabile anche con ricerche legate a VPN consumer molto conosciute, se un criminale crea pagine false che le imitano.
Γ lo stesso principio di fondo che ho giΓ documentato con il malware SparkCat: software che sembra legittimo, spesso firmato digitalmente, che si comporta normalmente mentre sottrae dati in background. Cambia il bersaglio, non la logica dell'inganno.
I segnali per riconoscere un sito VPN falso
Prima di scaricare qualsiasi client VPN, aziendale o personale, controlla sempre questi quattro punti.
Cosa fare adesso, in pratica
Se hai installato di recente un client VPN scaricato al di fuori dei canali ufficiali, conviene verificare subito il dispositivo. Ho giΓ spiegato passo per passo come capire se un dispositivo Γ¨ stato compromesso: gli stessi segnali valgono anche per un PC di lavoro.
- Microsoft Security Blog — Storm-2561 advisory — analisi tecnica completa, incluse le raccomandazioni ufficiali su MFA e protezione cloud
- BleepingComputer — riprende e sintetizza i dettagli principali riportati da Microsoft
Domande frequenti
Autore: Rocco Caiazza – Fondatore di ScelgoIo