Alla scoperta di Predatory Sparrow. identità, obiettivi e arsenale digitale del misterioso attore minaccia
📌 Link all'articolo : redhotcyber.com/post/alla-scop…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
Alla scoperta di Predatory Sparrow. identità, obiettivi e arsenale digitale del misterioso attore minaccia
Predatory Sparrow attacca Bank Sepah: un’operazione ad alta sofisticazione con implicazioni geopolitiche profonde.Redazione RHC (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
#ICE took her mother in Chicago.💔Now a 6-yr-old is left w/o a guardian or a legal path to reunite in Honduras.
A story about the children left behind by #deportations +lack of INFRA to care for them in the US or for reunification.
I thought about apologizing for the heartbreaking articles I post, but I believe the more they're amplified, the better. The world needs to know of the atrocities occurring here, & the🚨perpetrators: #TrumpRegime, #StephenMiller, Rs...
#USPol chicagotribune.com/2025/06/22/…
#CarlPhilippEmanuelBach
1714 – 1788
Concerto in D minor (1747) #Wq22, #H425
I. Allegro
II. Un poco andante
III. Allegro di molto
#ArionBaroqueOrchestra
#GaryCooper
#musik #music #musique #musica #CPEBach #classicalmusic #galantmusic
youtube.com/watch?v=5LgZaBfS33…
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
Another photo of the puffins of Hafnarholmi harbour in East Iceland. I didn't take as many puffin photos as I'd like but I took enough. I took wayyy more when I went to Látrabjarg in Westfjords some years ago, but then again, Látrabjarg is a more scenic location, imo.
#Puffins #Birds #BirdPhotography #Iceland #Landscape #Photography #Travel #LandscapePhotography #Nature
AI Piano Teacher to Criticize Your Every Move
Learning new instruments is never a simple task on your own; nothing can beat the instant feedback of a teacher. In our new age of AI, why not have an AI companion complain when you’re off note? This is exactly what [Ada López] put together with their AI-Powered Piano Trainer.
The basics of the piano rely on rather simple boolean actions, either you press a key or not. Obviously, this sets up the piano for many fun projects, such as creative doorbells or helpful AI models. [Ada López] started their AI model with a custom dataset with images of playing specific notes on the piano. These images then get fed into Roboflow and trained using the YOLOv8 model.
Using the piano training has the model run on a laptop and only has a Raspberry Pi for video, and gives instant feedback to the pianist due to the demands of the model. Placing the Pi and an LCD screen for feedback into a simple enclosure allows the easy viewing of how good an AI model thinks you play piano. [Ada López] demos their device by playing Twinkle Twinkle Little Star but there is no reason why other songs couldn’t be added!
While there are simpler piano trainers out there relying on audio cues, this project presents a great opportunity for a fun project for anyone else wanting to take up the baton. If you want to get a little more from having to do less in the physical space, then this invisible piano is perfect for you!
Emergenza Ransomware AKIRA in Italia. Il report di DarkLab su strumenti, impatti e mitigazioni
La primavera 2025 verrà ricordata come un punto di svolta nella cronaca cyber del nostro Paese. Mentre si susseguono bollettini e comunicati tecnici, un dato emerge in modo lampante: AKIRA è entrato pesantemente in scena nel panorama italiano. E lo ha fatto senza bussare alla porta.
Nel report che pubblichiamo oggi, frutto del lavoro congiunto della nostra community e del sottogruppo DarkLab, specializzato in Cyber Threat Intelligence. Analisi con un taglio tecnico ma operativo sulla nuova campagna offensiva di AKIRA, il ransomware-as-a-service che si è fatto le ossa all’estero ed ora gioca in casa colpendo grandi e medie aziende lungo tutto lo stivale, con una particolare predilezione per il Nord-Est.
Target: l’Italia sotto attacco
Il report prende vita dalla crescente evidenza di un pattern: sempre più organizzazioni italiane, in settori differenti, vengono colpite da attacchi silenziosi, efficaci e rapidissimi. Non c’è phishing, non ci sono exploit zero-day da film hollywoodiano. C’è invece un’elevata automazione, tecniche consolidate e una strategia di accesso iniziale che sfrutta le debolezze delle nostre reti perimetrali. A colpire è proprio questo: la banalità del male informatico.
Il ruolo di BRUTED: uno strumento, più attori
Un aspetto cruciale del report è l’analisi dell’impiego del tool BRUTED, sviluppato originariamente da BlackBasta ed ora riutilizzato da affiliati AKIRA. Questo strumento automatizza la scoperta e il brute-forcing su dispositivi perimetrali come VPN, portali RDP e appliance SSL utilizzando tecniche evolute e proxy SOCKS5 per coprirne le tracce.
Le evidenze raccolte includono IP legati storicamente a infrastrutture malevole, come quelli appartenenti ad AS43350 (NFORCE, Paesi Bassi), già citati da CISA. E, sorpresa: tutto porta a credere che BlackBasta, Akira e (forse) Cactus stiano condividendo non solo strumenti, ma anche TTPs.
L’impatto: in meno di 24 ore dal primo accesso all’esfiltrazione
Gli attacchi Akira si sviluppano con una velocità brutale. Meno di 24 ore separano il primo accesso all’infrastruttura dal furto di dati, crittografia massiva e distruzione dei backup. Uno scenario da incubo in cui ogni secondo conta e la mancanza di segmentazione o protezione efficace fa la differenza tra resistere o cadere.
Tra gli strumenti documentati nel report troviamo anche SharpHound, RClone, WinRAR, l’abuso della comsvcs.dll per dump di LSASS/NTDS e tecniche BYOVD per disattivare AV ed EDR. Una sinfonia di TTPs da manuale MITRE ATT&CK.
Per la difesa serve un cambio di passo
Il report si chiude con un corposo elenco di azioni concrete: dal patch management agli honeypot, dal monitoraggio Sysmon al controllo granularizzato tramite AppLocker e WDAC. La chiave non è reagire, ma anticipare.
E ancora: tiered administration per AD, gestione Just-in-Time dei privilegi, backup off-site realmente protetti, simulazioni di risposta incidentale. Il tutto con un monito chiaro: Akira non sceglie le sue vittime in base al fatturato o alla dimensione, ma in base all’esposizione.
Abbiamo messo nero su bianco quanto scoperto: tecniche, IoC, tattiche, strumenti. Il documento è pensato per chi lavora sul campo, per i blue team, per i CISO e per tutti coloro che si trovano oggi a dover gestire una minaccia concreta. Non è un paper da convegno: è una guida per chi deve difendere la trincea.
La conclusione non è (solo) tecnologia, è consapevolezza.
Non si tratta più solo di aggiornare i firewall o abilitare l’MFA. Serve un cambio di cultura: pensare da bersaglio, difendersi come fortezza, reagire come incident responder.
Il tempo delle policy scritte nei cassetti è finito. Con AKIRA alle porte, serve sangue freddo, logica, collaborazione. E magari anche un po’ di quella rabbia costruttiva che ci ha portati a scrivere questo report.
DarkLab è qui. E non molla.
L'articolo Emergenza Ransomware AKIRA in Italia. Il report di DarkLab su strumenti, impatti e mitigazioni proviene da il blog della sicurezza informatica.
Sander Schimmelpenninck in de Volkskrant over het #groenlinkspvdacongres :
"Een partij die zo’n belangrijk onderwerp openlijk, met tegenspraak en checks -and-balances, behandelt geeft blijk van een goed functionerende partijdemocratie. Vergelijk dat eens met de onbenulligheid en schaapachtigheid bij de VVD, om van Wilders’ partij-zonder-leden al helemaal niet te spreken."
volkskrant.nl/columns-van-de-d…
Archive:
archive.is/622G4
#PvdA #GroenLinks #VVD #PVV #TK2025
Catharina Bethlehem ☑️ Cath reshared this.
20 anni, alle 3 di notte andava a lavorare come panettiere. Ucciso da un automobilista che non l'ha visto
Più dettagli leggo, più questa storia mi fa imbestialire.
Un 50enne, dopo aver fatto baldoria, guidava la sua auto sportiva, in città, ad alta #velocità. Un ragazzo, 20 anni, come ogni notte, andava a fare il pane alle 3 di mattina col suo monopattino, col casco, sulla pista ciclabile. Tutti i cliché ribaltati. Ma non la #violenzaStradale
ilgiorno.it/milano/cronaca/mar…
Marco Cutrona, travolto e ucciso in monopattino. Il conducente dell’Audi “Non l’ho visto arrivare”
Reduce da una serata nei locali, il cinquantenne comasco si è messo al volante ubriaco. Indagine dei ghisa per stabilire la velocità della TT al momento dell’impatto aveva già addosso il grembiule che utilizzava in panetteriaNICOLA PALMA (Il Giorno)
reshared this
La maggioranza degli slovacchi è contraria alla neutralità
Un sondaggio d’opinione pubblicato poco dopo l’inattesa dichiarazione del primo ministro Robert Fico, secondo cui “la neutralità si addirebbe alla Slovacchia”, mostra uno scarso sostegno popolare all’idea: oltre la metà degli slovacchi la respinge ne…Natália Silenská (EURACTIV)
De Knaller maandag 23 juni 2025
janis ian other side of the sun YouTube
youtube.com/watch?v=ru3Klyf-Lh…
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
India Growth Firm as Export Orders Soar in June, Flash PMIs Show
https://www.bloomberg.com/news/articles/2025-06-23/india-growth-firm-as-export-orders-soar-in-june-flash-pmis-show?utm_source=flipboard&utm_medium=activitypub
Posted into Economics @economics-bloomberg
Russia Hits Kyiv’s Civilian Infrastructure Killing At Least Five
https://www.bloomberg.com/news/articles/2025-06-23/russia-hits-kyiv-s-civilian-infrastructure-killing-at-least-five?utm_source=flipboard&utm_medium=activitypub
Posted into Economics @economics-bloomberg
La police française en guerre contre des ballons de baudruche
contre-attaque.net/2025/06/23/…
"Un policier armé et cagoulé qui fait exploser des ballons aux couleurs de la Palestine comme un sale gosse : l'image du week-end.
L’article La police française en guerre contre des ballons de baudruche est apparu en premier sur Contre Attaque."
libcom.org/article/journal-far…
Journal Farsi (Archive) - Farsi (Left Communist) Journal published by Worker-Communists
Journal Farsi is a Farsi/Iranian communist journal published by Worker-Communists (most of the editorial team members are from Worker-Communists Party of Iran.libcom.org
Tarnished by Oct. 7, Netanyahu's legacy may be reshaped by war with Iran
https://apnews.com/article/iran-us-strikes-israel-netanyahu-ecebee27b2aea360c8fdaf9156ccbf32?utm_source=flipboard&utm_medium=activitypub
Posted into International News @international-news-AssociatedPress
Insight with Haslinda Amin 6/23/2025
https://www.bloomberg.com/news/videos/2025-06-23/insight-with-haslinda-amin-6-23-2025-video?utm_source=flipboard&utm_medium=activitypub
Posted into Bloomberg Television @bloomberg-television-bloomberg
Le prime pagine di oggi - Il Post
https://www.ilpost.it/2025/06/23/le-prime-pagine-di-oggi-4246/?utm_source=flipboard&utm_medium=activitypub
Pubblicato su News @news-ilPost
Le prime pagine di oggi
Tutte sull'attacco degli Stati Uniti all'Iran e sulle possibili conseguenzeIl Post
News reshared this.
Sa caméra LSST est la plus grande caméra numérique construite à ce jour. Elle fournit des images de 3200 mégapixels.
#RubinFirstLook
📷 NSF-DOE Vera C. Rubin Observatory
pollo likes this.
reshared this
OK, today is not going great. I'm tired, some moron at work is putting rubbish in the compost bins (which I manage), and I'm trying to get the energy to figure out what to do next. Time to break out the Transcriptions 2020 rework.
Also discovered this little gem thanks to a recommendation on Youtube:
marcomayer1.bandcamp.com/album…
Vangelis meets Tangerine Dream. Very good, quite relaxing. Good for the equilibrium. Doesn't spend as much time as TD would (IMO) in developing and improvising on themes, but still good.
Land and life change climate
"Expected air moisture is missing over drier areas worldwide, possibly because climate models undervalue the effects of plants and other life. This finding could be a fingerprint of human-caused land degradation, which would underscore calls to solve climate, biodiversity and water availability together."
Many climatologists now agree that living beings impact climate locally by regulating exchange of energy and water with the atmosphere.
Oblomov reshared this.
Land surface hydrology models explicitly represent vegetation and always have.
Lazzarini: Two million Palestinians in Gaza are facing starvation
The Commissioner-General of the United Nations Relief and Works Agency for Palestine Refugees (UNRWA), Philippe Lazzarini, confirmed on Saturday that two million Palestinians in the Gaza Strip are facing starvation. He accused Israel of using food aDAILY YEMEN
reshared this
Der röm. Feinschmecker Apicus lebte im 1. Jhd nahe des heutigen Köln. Er verschwendete 100 Mio. Sesterzen für seine Küche und bemerkte dann, dass „nur“ 10 Mio. (20 Mio €) übrig waren. Derart „verarmt“ konnte er nicht weiterleben und brachte sich um. 🤷♂️
de.m.wikipedia.org/wiki/Marcus…
America summed up in one poster.
EDIT: please read the comments in this thread regarding juvenile diabetes. A lot of misconceptions have been brought to light and I think it’s important to admit when we don’t know as much as we thought we did.
Thank you again to all of those who corrected me without being insulting. Learning is always a good thing.
reshared this
Buddhistdoor View: Facing the Fire Without Feeding It – New Violence in the Middle East
🔗 Read more at BDG: tinyurl.com/yehz7z6a
#Buddhism #Buddha #BuddhistPrtactice #USA #Iran #Commentary #Geopolitics #War #conflict #suffering #Peace #Israel #Wisdom
Iranian-Aligned Hackers Attack Trump's Truth Social: Report
Iranian-Aligned Hackers Claim Responsibility for Attack on Trump’s Truth Social Platform
A group of Iranian-aligned hackers has reportedly attacked something President Donald Trump holds dear — his Truth Social platform.Joe DePaolo (Mediaite)
Rozaŭtuno likes this.
Snap Inc. kauft Schülerkalender-App Saturn
Snap betreibt die Social Media App Snapchat und bald auch die Kalender-App Saturn. Sie ist im US-Schulsystem weit verbreitet.Niklas Jan Engelking (heise online)
Breadcrumbing: capire la manipolazione emotiva per difendersi meglio nel dominio digitale
Questo articolo mira a esplorare il fenomeno del breadcrumbing da una prospettiva psicologica, collegandolo in modo metaforico alle strategie insidiose che gli attaccanti usano nella cybersecurity.
Scopriremo come la comprensione delle dinamiche relazionali umane può offrirci strumenti preziosi per difenderci nel complesso panorama digitale. Dimenticate l’immagine dell’hacker che sfonda le porte. Il panorama delle minacce informatiche del 2025 è dominato da una strategia ben più insidiosa, mutuata direttamente dalle dinamiche più oscure della psicologia umana: il breadcrumbing.
Immaginatelo come la tecnica di un pescatore esperto: non getta una rete enorme, ma lancia piccole, allettanti esche – briciole di pane – per tenere i pesci nel suo raggio d’azione, incuriositi e speranzosi, senza mai dargli una preda vera e propria. Questa tecnica, che in ambito relazionale consiste nel lasciare “briciole” di attenzione per tenere una vittima legata senza un impegno reale, trova una risonanza spaventosa nel modus operandi delle minacce persistenti avanzate. Descrive una realtà relazionale che ha effetti palpabili sul benessere psicologico individuale. È, in essenza, la manipolazione della speranza.
Un inganno emotivo
Per capire il breadcrumbing, dobbiamo addentrarci nei meandri della nostra psiche. Noi esseri umani siamo cablati per la connessione e per la ricerca di significato. Quando entriamo in relazione con qualcuno, sviluppiamo naturalmente aspettative, desideri e una proiezione verso un futuro condiviso. Questo processo è alimentato dalla speranza, un meccanismo psicologico fondamentale che ci spinge a persistere di fronte alle difficoltà, a investire energie e ad anticipare ricompense.
Nel contesto del breadcrumbing, questa sana speranza viene distorta. La persona che “lancia le briciole” non offre una ricompensa concreta, ma solo la promessa di una potenziale ricompensa futura. Questo attiva un potente meccanismo psicologico noto come rinforzo intermittente, ampiamente studiato in psicologia comportamentale. Immaginate un giocatore d’azzardo: la vincita occasionale e imprevedibile lo tiene attaccato al gioco molto più di una vincita garantita o di una perdita costante. Allo stesso modo, un messaggio casuale dopo giorni di silenzio, o un complimento inaspettato, agisce come una “vincita” emotiva, riaccendendo la speranza e giustificando l’attesa. Questo ciclo crea una vera e propria dipendenza emotiva. La vittima inizia a monitorare ogni segnale, ogni “briciola”, interpretandola come prova che “forse questa volta cambierà”, o “forse è solo impegnato/a”. Si entra in uno stato di ipervigilanza relazionale, un’ansia sottile ma costante, dove l’attenzione è tutta proiettata sull’altro, nella vana attesa di una conferma che non arriva mai pienamente.
Perché succede
Possiamo intravedere diverse dinamiche sottostanti:
- Paura dell’intimità e dell’impegno: per alcuni, l’intimità profonda è terrificante. Il breadcrumbing permette di mantenere una connessione a distanza di sicurezza, evitando la vulnerabilità che deriva da un impegno reale. Ciò può essere legato a stili di attaccamento insicuri (evitante, disorganizzato) sviluppati nell’infanzia, dove l’intimità era associata al dolore o alla perdita.
- Bisogno di attenzione e controllo: dispensare briciole permette di sentirsi desiderati e di avere “opzioni aperte”, alimentando l’ego senza dover dare nulla in cambio. È una forma di controllo sulla disponibilità emotiva dell’altro, un modo per sentirsi potenti.
- Narcisismo e mancanza di empatia: in casi più estremi, il breadcrumbing può essere una manifestazione di tratti narcisistici, dove l’altro è visto come un’estensione per soddisfare i propri bisogni, senza una vera considerazione per i suoi sentimenti.
- Difficoltà a comunicare e stabilire limiti: a volte, è semplicemente la difficoltà a dire “no”, a essere onesti sulle proprie intenzioni, o a gestire il disagio di una chiusura definitiva.
Dal punto di vista della vittima, le vulnerabilità sono altrettanto profonde: una bassa autostima può renderci più propensi ad accontentarci delle briciole; la paura della solitudine può farci aggrappare a qualsiasi barlume di connessione; e schemi relazionali passati (magari con genitori emotivamente non disponibili) possono renderci “programmati” a cercare amore in situazioni che offrono solo frammenti.
Il Breadcrumbing una similitudine con il Digitale
Questo stesso schema di manipolazione della speranza e di rinforzo intermittente si riflette in modo sorprendente nel mondo della cybersecurity. Non è solo una metafora; è una comprensione profonda delle vulnerabilità psicologiche che vengono sfruttate.
Pensate alle minacce persistenti avanzate. Raramente si tratta di un’unica, clamorosa irruzione. Piuttosto, gli attaccanti adottano una strategia di breadcrumbing digitale. Non un’email palesemente truffaldina, ma una ben costruita, con un link o un allegato che sembra quasi legittimo. Questa è la prima “briciola”, progettata per ottenere un piccolo accesso, per seminare un malware latente. I cybercriminali non cercano il “botto”, ma la persistenza. Dopo un primo accesso, l’attaccante non agisce subito. Si muove “lateralmente” nella rete, raccogliendo informazioni con attività a basso impatto, quasi invisibili. Ogni file esaminato, ogni credenziale catturata è una “briciola” di conoscenza, accumulata senza destare sospetti, proprio come il breadcrumber raccoglie informazioni su di te senza un vero impegno. Gli attacchi possono rimanere dormienti per mesi o anni, esfiltrando dati lentamente, seminando malware che si attiva solo in condizioni specifiche. Non c’è una “rottura” o un attacco diretto, ma una disponibilità latente, un po’ come la relazione di breadcrumbing che non finisce mai del tutto, ma non evolve nemmeno.
Le vulnerabilità psicologiche
Il legame tra il breadcrumbing emotivo e quello cibernetico risiede nelle nostre vulnerabilità più profonde:
- La paura di perdere: sia in una relazione che nella sicurezza, tendiamo a sottovalutare i segnali deboli per paura di perdere qualcosa (la relazione, l’accesso, i dati).
- La tendenza a normalizzare: “È solo un ritardo”, “È solo un picco di traffico”. Siamo inclini a normalizzare comportamenti anomali, sia da parte di una persona che da parte di un sistema.
- La difficoltà di riconoscere l’assenza: il breadcrumbing è l’assenza di impegno mascherata da presenza. Nell’IT, l’assenza di un attacco clamoroso può mascherare una violazione continua e silenziosa.
Impatti Psicologici
Vivere in un ciclo di breadcrumbing lascia profonde cicatrici:
- Ansia e stress continui: la costante incertezza genera uno stato di allerta permanente, che può manifestarsi fisicamente e mentalmente.
- Deterioramento dell’autostima: la vittima inizia a chiedersi “Cosa c’è di sbagliato in me?”, “Perché non sono abbastanza?”. La percezione di non meritare un amore pieno e autentico si rafforza.
- Difficoltà a fidarsi: una volta usciti da questa dinamica, la capacità di fidarsi di nuove persone può essere compromessa, rendendo difficile formare relazioni sane.
- Spreco di tempo ed energie: l’investimento prolungato in una relazione senza futuro prosciuga risorse che potrebbero essere impiegate in modo più costruttivo.
- Isolamento: la persona può ritirarsi, concentrando tutta l’energia su questa relazione disfunzionale e trascurando amicizie o altri interessi.
La consapevolezza è la chiave
Se la psicologia del breadcrumbing ci insegna qualcosa, è che la consapevolezza è la nostra arma più potente.
A livello Personale
- Educazione emotiva: comprendere le dinamiche relazionali disfunzionali e i propri schemi di attaccamento.
- Costruzione dell’autostima: una forte autostima è il miglior antidoto contro la necessità di “briciole”.
- Confini solidi: imparare a dire “no”, a chiedere ciò che si merita e a ritirarsi quando i propri bisogni non sono soddisfatti.
A livello di Cybersecurity
- Human Firewall: la formazione e la consapevolezza degli utenti sono cruciali. Insegnare a riconoscere il phishing, le tecniche di social engineering e i tentativi di manipolazione è come addestrare la mente a riconoscere i segnali del breadcrumbing emotivo.
- Monitoraggio comportamentale: non basta rilevare malware noti. Bisogna monitorare le “briciole” di attività anomale, i pattern comportamentali insoliti dei sistemi e degli utenti. Soluzioni di monitoraggio avanzato diventano i nostri “terapeuti” digitali, aiutandoci a identificare schemi disfunzionali prima che diventino crisi.
- Approccio Zero Trust: non fidarsi implicitamente di nulla, nemmeno all’interno della rete. Ogni “briciola” di accesso deve essere verificata e limitata al minimo indispensabile.
- Resilienza e Disaster Recovery: accettare che la compromissione è possibile e quindi occorre avere piani robusti per minimizzare i danni e ripristinare i sistemi. Non vivere nella vana speranza che l’attacco non arriverà mai.
Conclusione
Il cuore umano, nella sua complessità, è un ecosistema di speranze e paure, di connessioni e vulnerabilità. E, sorprendentemente, in questo studio sulle “briciole” dell’anima, abbiamo scoperto che le nostre reti digitali non sono poi così diverse.
Abbiamo esplorato come la psicologia della manipolazione emotiva si traduce in tattiche di cybersecurity, rivelando che il breadcrumbing è molto più di un fenomeno relazionale: è una lezione fondamentale sulla resilienza digitale.
La nostra capacità di difenderci non dipende solo dagli strumenti che impieghiamo, ma dalla prontezza con cui riconosciamo i segnali deboli, quelle anomalie minute, quei sussurri digitali che, accumulati, dipingono il quadro di un’invasione imminente.
È tempo di superare la superficialità e adottare una mentalità di ipersensibilità ai segnali: solo così potremo distinguere le false promesse digitali dalle vere intenzioni, trasformando le nostre vulnerabilità psicologiche in robustezza cibernetica. La guerra cyber non si vince con attacchi clamorosi, ma decifrando ogni singolo, microscopico frammento. Non lasciatevi ingannare dalle briciole; sono solo l’inizio.
E allora vi chiedo, con l’umiltà di chi osserva le fragilità umane e digitali:Siamo davvero i custodi attenti del nostro confine, sia esso emotivo o informatico?
Abbiamo il coraggio di esigere chiarezza e impegno, rifiutandole “briciole” che minacciano la vostra integrità?
E, in un mondo sempre più interconnesso, quanto siamo pronti a riconoscere che la vera forza risiede non solo nel codice più robusto, ma nella consapevolezza più profonda?
L'articolo Breadcrumbing: capire la manipolazione emotiva per difendersi meglio nel dominio digitale proviene da il blog della sicurezza informatica.
―
Sorry, I couldn't process this image.
―
Sorry, I couldn't process this image.
#ShotOniPhone #ukcountrypic #photography #NorthWales #Snowdonia #Conwy
Back in time to August 2018.....
Conwy is a historic town located on the north coast of Wales, in the county of Conwy (named after the town). It is one of the best-preserved medieval towns in Britain and is known for its impressive castle, ancient town walls, and scenic location.
Conwy Castle was built by Edward I between 1283 and 1287 during his conquest of Wales. It offers panoramic views over the Conwy estuary and Snowdonia mountains.
(4 of 5)
act.demandprogress.org/sign/no…
US citizens: call on Congress to oppose Israel's attacks on Iran and stop the US from supporting them. If you phone, please spread the word! Main Switchboard: +1-202-224-3121
No war with Iran!
Israel's aggression is a dangerous escalation in Middle East hostilities and a deadly attack on civilians.Demand Progress
Jon Elmer reviews some of the damage of Iran's retaliation to Israel's attacks
Jon Elmer, contributing editor, reports on the first week of the war with Iran launched by Israel on the morning of 13 June 2025.
The full broadcast is available to watch on YouTube, Rumble and Twitter/X, or you can listen to it on your preferred podcast platform.
Your gift supports The Electronic Intifada's independent journalism on Palestine:
• Donate by credit card, ApplePay, PayPal, Venmo or US bank account via Kindful: bit.ly/EIKindful
Gifts are welcome from anywhere and are tax-deductible for US taxpayers as allowed by law.
(Theme music by Greg Wilson)
𝐓𝐡𝐞 𝐄𝐥𝐞𝐜𝐭𝐫𝐨𝐧𝐢𝐜 𝐈𝐧𝐭𝐢𝐟𝐚𝐝𝐚
Visit our website for more reporting: electronicintifada.net
Rumble: rumble.com/c/intifada
Instagram: instagram.com/electronicintifa…
Twitter: twitter.com/intifada
Facebook: facebook.com/electronicintifad…
Soundcloud: soundcloud.com/intifada
Spotify: open.spotify.com/show/7g2IMlNS…
Apple Podcasts: podcasts.apple.com/us/podcast/…
#TheElectronicIntifada #TheElectronicIntifadaPodcast
The Electronic Intifada
An independent online news publication and educational resource focusing on Palestine, its people, politics, culture and place in the world. Radio stations are free to use our audio with attribution.SoundCloud
Writing in the FT, Keir Starmer pitches (ahead of today's announcement) Labour's new ten year industrial strategy.... and what word is conspicuously absent? Europe...
He mentions the advantages of three new trade deals the Govt. has concluded, but not the minuscule benefits compared to the loss of easy access to the EU's single market.
A really strong industrial strategy would start with re-establishing friction-free access to the massive market next door!
FREE🇵🇸PALESTINE, CRUSH ZIONISM reshared this.
Yup, I agree; electoral reform is the way forward for any sort of quasi-progressive optics in this country
@adrianfry He is scared of them, but also such a terrible politician that he is unable to find a single policy that would show a better alternative to Reform. He somehow thinks being like Reform will win votes. It won’t. Reform voters will support Reform, Labour voters will be put off by Labour mimicking Reform. An article a few weeks ago in the Byline Times summed up the Conservative strategy as ‘saying Farage is right about everything but don’t vote for him’. The same strategy is a disaster for Labour too.
Meanwhile, he’s also copying Tony Blair’s Iraq strategy, just changing a q to an n, and hoping it will work out better for him than it did for Blair.
@classicalmusic
@contemporarymusic
#KlausLang *1971
Kharis (2023)
#SønderjyllandsSymfoniorkester
#KaiJohannesPolzhofer
#contemporarymusic
#womencomposers #musik #music #musique #musica #Lang
youtube.com/watch?v=4T9YfGetxf…
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
Israel is unable to carry out a war of attrition, Jon Elmer provides his analysis
Jon Elmer, contributing editor, reports on the first week of the war with Iran launched by Israel on the morning of 13 June 2025.
The full broadcast is available to watch on YouTube, Rumble and Twitter/X, or you can listen to it on your preferred podcast platform.
Your gift supports The Electronic Intifada's independent journalism on Palestine:
• Donate by credit card, ApplePay, PayPal, Venmo or US bank account via Kindful: bit.ly/EIKindful
Gifts are welcome from anywhere and are tax-deductible for US taxpayers as allowed by law.
(Theme music by Greg Wilson)
𝐓𝐡𝐞 𝐄𝐥𝐞𝐜𝐭𝐫𝐨𝐧𝐢𝐜 𝐈𝐧𝐭𝐢𝐟𝐚𝐝𝐚
Visit our website for more reporting: electronicintifada.net
Rumble: rumble.com/c/intifada
Instagram: instagram.com/electronicintifa…
Twitter: twitter.com/intifada
Facebook: facebook.com/electronicintifad…
Soundcloud: soundcloud.com/intifada
Spotify: open.spotify.com/show/7g2IMlNS…
Apple Podcasts: podcasts.apple.com/us/podcast/…
#TheElectronicIntifada #TheElectronicIntifadaPodcast
The Electronic Intifada
An independent online news publication and educational resource focusing on Palestine, its people, politics, culture and place in the world. Radio stations are free to use our audio with attribution.SoundCloud
之前我说精囊应该是错的🤔
Yowza. I got a nice boost from @nixCraft and my instance survived. That was a helluva boost.
#mastodon #mastoadmin #fediverse #observability
Functionalist tower of the Olympic Stadium in Helsinki, Finland, designed by Yrjö Lindegren and Toivo Jäntti.
commons.wikimedia.org/wiki/Fil…
#wikimedia #photo #daily #photography #fotografia #photographie #foto
Steffani's 'Orlando generoso' with Wey, Walter, Kawalek and Patchornik from Potsdam - Schedule // - www.worldconcerthall.com
Potsdam Sanssouci Music Festival. Agostino Steffani's 'Orlando generoso' is an opera to a libretto by Ortensio Mauro after Ariosto's Orlando furioso. The opera was written in 1691 and presented again in Hanover in 1692, and in 1695 it was p...www.worldconcerthall.com
Officiellement, la Belgique ne livre pas d'armes à Israël,
mais regardons de plus près...
#StopArmingIsraël
stop-arming-israel-belgium.com… 🧐
NOS CIBLES : 10 entreprises complices en Belgique - Stop arming Israel (Belgium)
Carte des Commerces Que des armes transitent par la Belgique ou que des composants et pièces détachées soient livrées à Israël n’a rien d’anodin. Même si la ...Stop arming Israel (Belgium)
reshared this
“Cookie-Bite”: L’attacco Segreto che Usa le Estensioni per Dirottare le Tue Sessioni Online
Sebbene siano molto diffuse, le estensioni dei browser Web non sono necessariamente sicure. Proprio come qualsiasi altro software che si possa installare sul computer, le estensioni possono contenere codice dannoso progettato per arrecare ingenti danni ai pc dei malcapitati. L’ultima dimostrazione dei potenziali danni delle estensioni arriva sotto forma di un attacco malware proof-of-concept (PoC). I ricercatori di sicurezza hanno sviluppato “Cookie-Bite”, che mostra come le estensioni di Chrome possano dirottare furtivamente i token di sessione.
I threat actor spesso utilizzano gli infostealer per estrarre i token di autenticazione direttamente dal computer della vittima o acquistarli direttamente attraverso i Dark Market, consentendo agli avversari di dirottare le sessioni cloud attive senza attivare l’MFA. Iniettando questi cookie e imitando il sistema operativo, il browser e la rete della vittima, gli aggressori possono eludere le politiche di accesso condizionato (CAP) e mantenere un accesso persistente.
In parole povere, ciò significa che i malintenzionati possono accedere a quasi tutti i siti come impersonando la vittima. Tutto ciò che devono fare è ingannare gli utenti e spingerli ad installare un’estensione del browser apparentemente innocua. Oppure, se hanno ottenuto l’accesso al computer, possono installare l’estensione dannosa senza che gli utenti se ne accorgano. In questo documento verrà rappresentata una PoC di come funziona l’attacco.
Come vengo estratti i cookie dagli infostealer
Il malware Infostealer è emerso come un avversario formidabile, abile nel rubare dati sensibili, compresi i cookie di autenticazione. Questi programmi dannosi si infiltrano nei sistemi per esfiltrare le credenziali di accesso, i cookie di sessione e i token di autenticazione che vengono poi inviati a server remoti controllati dai criminali informatici.
Con i cookie rubati, gli aggressori possono dirottare le sessioni attive degli utenti, impersonare utenti legittimi e aggirare completamente l’MFA. Rubano, rubano la nostra identità. La maggior parte dei pirati informatici non utilizza direttamente i dati rubati. Operano invece nell’ambito di un modello di Malware-as-a-Service (MaaS), in cui diversi attori svolgono ruoli specializzati. Questi ruoli possono includere
Operatori di infostealer che sviluppano e distribuiscono malware per infettare il maggior numero possibile di vittime. Tracer (affiliati) che diffondono il malware attraverso tattiche di phishing, annunci malevoli o crack di software. Mercati darknet che fungono da hub in cui i criminali informatici vendono in massa cookie, credenziali e impronte digitali del browser rubati Gli acquirenti (da broker di accesso iniziale e gruppi di ransomware) acquistano queste credenziali per ottenere un accesso non autorizzato a servizi cloud, VPN aziendali e piattaforme sensibili.
Una volta venduti, i cookie di autenticazione rubati consentono agli aggressori di accedere come la vittima, spesso aggirando l’MFA. Questa tecnica, nota come session hijacking, è ampiamente sfruttata per violazioni aziendali, frodi finanziarie e spionaggio.
Le modalità di furto dei cookie
Nel panorama in evoluzione del dirottamento di sessione, gli aggressori utilizzano diverse tecniche per rubare i cookie di autenticazione, consentendo loro di bypassare l’MFA e di impersonare utenti legittimi.
I principali metodi utilizzati per rubare i cookie di autenticazione
Adversary-in-the-Middle
Gli attacchi di phishing AITM vanno oltre il tradizionale furto di credenziali intercettando i token di autenticazione e i cookie di sessione in tempo reale. Gli aggressori utilizzano strumenti di reverse proxy (ad esempio, Evilginx, Modlishka, Muraena) per interporsi tra la vittima e il servizio di autenticazione legittimo (ad esempio, Microsoft 365, Google).
Quando la vittima effettua l’accesso, il proxy cattura le credenziali, i token MFA e i cookie di sessione, consentendo all’aggressore di bypassare l’MFA e dirottare la sessione senza richiedere nuovamente la password dell’utente. Questa tecnica è ampiamente utilizzata per compromettere gli account cloud e aggirare le moderne difese di autenticazione.
Figura 1 AITM Flow
Dumping della memoria del processo del browser
Gli infiltrati sfruttano il fatto che i browser decifrano i cookie durante le sessioni attive, memorizzandoli per un accesso rapido. Il malware può iniettare codice nei processi del browser in esecuzione (ad esempio, chrome.exe, msedge.exe) per leggere questo spazio di memoria ed estrarre i cookie in chiaro. Questo approccio aggira la necessità di decriptare i cookie dal disco, poiché vi accede dopo la decriptazione durante l’uso attivo.
Estensioni del browser dannose
Le estensioni dannose del browser consentono agli aggressori di accedere direttamente ai cookie di autenticazione e ai token di sessione operando nel contesto di sicurezza del browser. Queste estensioni, spesso camuffate da strumenti legittimi, richiedono autorizzazioni eccessive che consentono loro di interagire con le sessioni Web, modificare il contenuto delle pagine ed estrarre i dati di autenticazione memorizzati. Una volta installate, possono accedere all’API di archiviazione del browser, intercettare le richieste di rete o iniettare JavaScript dannoso nelle sessioni attive per rubare i cookie di sessione in tempo reale.
A differenza del malware tradizionale, non è necessaria l’iniezione di processi o la decrittazione del disco, rendendo questa tecnica più difficile da rilevare a livello di endpoint. I token di autenticazione rubati vengono esfiltrati sul server dell’aggressore, dove possono essere riprodotti per aggirare l’MFA e impersonare la vittima.
Di solito, i browser memorizzano le estensioni nel seguente percorso (Chrome):
Windows: C:\Users\AppData\Local\Google\Chrome\Dati_Utente\Default\Extensions
Linux:
~/.config/google-chrome/Default/Extensions/
MacOS:
~/Libreria/Supporto Applicazioni/Google/Chrome/Default/Estensioni
Le estensioni personalizzate del browser che non sono firmate possono essere caricate in modalità sviluppatore e poi caricate.
Figura 2 Estensione cookie-stealer caricata in Chrome
Decifrare i cookie memorizzati localmente
I browser memorizzano i cookie di autenticazione in database SQLite crittografati per mantenere la persistenza della sessione e proteggere i dati sensibili dell’utente. Tuttavia, gli aggressori possono estrarre e decifrare questi cookie ottenendo sia il database dei cookie memorizzati sia la chiave di crittografia utilizzata per proteggerli.
Il metodo varia a seconda del sistema operativo e del modello di sicurezza del browser: Windows si affida alla crittografia DPAPI, mentre Linux e macOS utilizzano meccanismi di keychain specifici del sistema.
Ad esempio:
I cookie di sessione memorizzati su Mac possono trovarsi in “/Library/Application Support/Google/Chrome/Default/Cookies”, limitati da Transparency, Consent and Control (TCC).
Su Windows, i browser basati su Chromium (Chrome, Edge, Brave, ecc.) memorizzano i cookie di autenticazione in Dati utente/…/Rete/Cookies il database SQLite principale contiene cookie crittografati AESStato locale → Memorizza la chiave di crittografia AES, che è a sua volta crittografata utilizzando WindowsData Protection API (DPAPI)
Poiché DPAPI vincola la crittografia al profilo utente e al computer, gli aggressori non possono decifrare facilmente i cookie al di fuori del sistema della vittima. Per aggirare questo problema, gli infiltrati devono:
Decifrare la chiave AES localmente utilizzando DPAPI (CryptUnprotectData()) all’interno della sessione infetta.
Rubare la chiave master DPAPI (C:\Users\…\AppData\Roaming\Microsoft\Protect) per tentare la decrittazione offline. La chiave master è crittografata con la password dell’utente (utente locale).
la password dell’utente (utente locale o utente AD) oppure
il segreto DPAPI_SYSTEM, nel caso di un sistema integrato.
Figura 3 Decriptare il blob usando DPAPI
Quali sono i cookie più preziosi?
Quando compromettono un dispositivo, gli aggressori danno priorità ai cookie in base al loro potenziale di ulteriore sfruttamento. Il valore dei cookie rubati dipende sia dalle motivazioni degli aggressori sia dalla domanda del mercato. Nella maggior parte dei casi, i cookie più preziosi sono quelli che forniscono un accesso a lungo termine ad account di alto valore o che consentono profonde opportunità di post-sfruttamento.
I cookie di sessione legati agli account dei social media (ad esempio, Facebook, Instagram, Twitter) possono essere redditizi, soprattutto se l’account ha un grande seguito, un’influenza commerciale o l’accesso a conti per la spesa pubblicitaria. Tuttavia, la loro utilità dipende dallo stato dell’account e dal valore di rivendita.
D’altro canto, i cookie delle sessioni cloud aziendali attive, come Microsoft 365, Google Workspace o AWS, sono spesso più interessanti per uno sfruttamento mirato successivo. Una sessione aziendale dirottata può consentire agli aggressori di accedere alle e-mail interne, esfiltrare dati sensibili, aumentare i privilegi o persino spostarsi lateralmente attraverso un’intera rete aziendale, portando potenzialmente a una completa compromissione dell’azienda.
Dirottare l’autenticazione di Azure
Questa ricerca si concentra su ESTSAUTH e ESTSAUTHPERSISTENT, due cookie di autenticazione critici utilizzati da Azure Entra ID (precedentemente AAD). Questi cookie mantengono le sessioni cloud autenticate e consentono l’accesso a Microsoft 365, Azure Portal e altre applicazioni aziendali.
Dirottando questi token di sessione, gli aggressori possono aggirare l’MFA, impersonare gli utenti e spostarsi lateralmente tra gli ambienti cloud, rendendoli uno degli obiettivi più preziosi per i ladri di informazioni e gli attori delle minacce.
Figura 4 Altri fornitori cloud Cookie di autenticazione
Nota: l’articolo si concentra principalmente sui cookie relativi all’autenticazione di Azure, ma le tecniche e gli approcci condivisi possono essere applicati anche ad altre piattaforme e servizi cloud elencati nella tabella precedente. I risultati pratici possono variare a seconda dell’ambiente di destinazione e delle sue difese, poiché ogni servizio ha una propria architettura di cookie, gestione delle sessioni e sicurezza.
Ruolo dei token ESTSAUTH e ESTSAUTHPERSISTENT
Nell’autenticazione web di Azure Entra ID, ESTSAUTH e ESTSAUTHPERSISTENT sono importanti token di sessione memorizzati come cookie del browser che rappresentano la sessione autenticata dell’utente:
ESTSAUTH: è il cookie di sessione principale di Azure Entra ID. “Contiene le informazioni sulla sessione dell’utente per facilitare l’SSO”. Si tratta di un token di sessione transitorio, cioè valido per la durata della sessione del browser. Se l’utente chiude il browser e non ha scelto un login persistente, il cookie ESTSAUTH viene distrutto, richiedendo un nuovo login la volta successiva. Per impostazione predefinita, un cookie ESTSAUTH (sessione non persistente) ha una validità massima di 24 ore, trascorse le quali l’utente dovrà effettuare una nuova autenticazione.
ESTSAUTHPERSISTENT: si tratta di una versione persistente del cookie di sessione Azure Entra ID. Contiene anche informazioni di sessione per l’SSO, ma è memorizzato come cookie persistente che rimane anche dopo la chiusura del browser. Questo cookie viene impostato quando un utente sceglie di “rimanere connesso” o quando viene applicata la funzione “Keep Me Signed In” (KMSI) di Azure Entra ID. Un token di sessione persistente consente all’utente di rimanere connesso anche dopo il riavvio del browser per un periodo prolungato. Per impostazione predefinita, il cookie ESTSAUTHPERSISTENT può rimanere valido per 90 giorni (il periodo di accesso predefinito di Azure Entra ID) o per la durata specificata dal criterio. Ciò significa che se un’utente scegliesse di rimanere connesso, potrebbe non essere richiesto di nuovo di fornire le credenziali o l’MFA per un massimo di 90 giorni su quel dispositivo. Il progetto di Azure Entra ID prevede che non venga richiesta una nuova autenticazione a meno che la sicurezza della sessione non cambi (ad esempio, modifica della password, disconnessione esplicita, modifica dei criteri).
Figura 5 Stay-signed-in
Questi cookie svolgono un ruolo fondamentale nell’equilibrio tra sicurezza e usabilità di Azure Entra ID. Essi contengono una forma di credenziale di sessione che dimostra che l’utente si è recentemente autenticato e, se applicabile, ha soddisfatto i requisiti MFA. Ad esempio, dopo un’autenticazione riuscita, Azure Entra ID può impostare un cookie ESTSAUTHPERSISTENT se l’utente ha fatto clic su “Sì” per rimanere connesso. Nei successivi accessi, la presenza di questo cookie consente ad Azure Entra ID di autenticare istantaneamente l’utente senza un’altra richiesta MFA. In altre parole, il cookie serve a dimostrare che “l’utente ha già eseguito l’MFA su questo browser, quindi non richiede un’altra richiesta” e garantisce l’accesso immediato.
In sintesi, i token ESTSAUTH(PERSISTENT) sono essenzialmente le “chiavi del regno” per quella sessione utente: provano che l’MFA è stato aggirato e consentono l’accesso continuo. Se un utente malintenzionato riesce a ottenere questi token, può impersonare la sessione dell’utente e bypassare l’intero processo di login (compreso l’MFA) perché Azure Entra ID considererà la sua sessione come già autenticata. Le sezioni seguenti analizzano come gli aggressori riescono a ottenere questo risultato e come difendersi da esso.
Figura 6 Cookie salvati in sessione
Questi cookie sono memorizzati localmente nel database SQLite di Chrome, situato all’indirizzo:
%LOCALAPPDATA%\Google\Chrome\Dati dell’utente\Default\Network\Cookies
Chrome cripta i valori dei cookie utilizzando DPAPI, che lega la crittografia al profilo Windows dell’utente corrente.
Figura 7 Cookie ESTS salvati localmente e valore dei dati binari ESTSAUTH (blob)
Creazione di un cookie stealer personalizzato: In questa proof-of-concept, è stato creato un cookie stealer persistente che estrae i cookie di autenticazione da una sessione attiva del browser e li esfiltra ogni volta che la vittima accede al portale di autenticazione Microsoft. Questo attacco aggira l’MFA sfruttando i cookie di sessione, consentendo l’accesso continuo ai servizi cloud senza richiedere le credenziali dell’utente. Invece di un furto di cookie una tantum, questo metodo garantisce che i cookie di sessione validi vengano estratti ogni volta che l’utente accede, mantenendo l’accesso non autorizzato a lungo termine. Al termine di questa PoC, si avrà:
- Un’estensione Chrome personalizzata che monitora gli eventi di autenticazione e cattura i cookie
- Uno script di PowerShell che automatizza l’implementazione dell’estensione e ne garantisce la persistenza
- Un semplice meccanismo di esfiltrazione per inviare i cookie a un punto di raccolta esterno Un’estensione complementare per iniettare in modo fluido i cookie catturati nel browser dell’attaccante, facilitando un dirottamento di sessione immediato e furtivo
Flow
Il diagramma seguente illustra il flusso end-to-end della Proof of Concept, dimostrando come gli aggressori catturino, esfiltrano e riutilizzino silenziosamente i cookie di autenticazione per dirottare le sessioni cloud delle vittime:
Figura 8 Diagramma della PoC
Fase 1:
Creazione dell’estensione Chrome per l’estrazione dei cookie Innanzitutto, si crea un’estensione Chrome che ascolta gli eventi di autenticazione e ruba i cookie di sessione quando la vittima accede a login.microsoftonline.com.
- Configurazione della directory dell’estensione
Creazione una nuova directory chiamata CookieStealer Extension. All’interno di questa directory, si creino due file:
- manifest.json (Definisce permessi e comportamenti)
- background.js (Gestisce l’estrazione e l’esfiltrazione dei cookie)
- Configurazione di manifest.json
Il file manifest definisce il comportamento dell’estensione, i permessi richiesti e gli script in background. Crea manifest.json all’interno della directory dell’estensione:
Figura 9 estensione manifest
Cosa fa:
Concede l’autorizzazione ad accedere a cookie, schede e richieste web. Limita l’esecuzione a login.microsoftonline.com. Carica background.js come servizio in background da eseguire in modo persistente.
- Scrittura della logica di estrazione dei cookie (background.js)
L’estensione estrae i cookie ogni volta che la vittima accede al portale di autenticazione di Microsoft. Crea background.js e aggiungi quanto segue:
Figura 10 Estensione cookie durante l’accesso
L’estensione ascolta le richieste di autenticazione su login.microsoftonline.com. Quando si verifica un accesso, estrae i cookie (inclusi ESTSAUTH ed ESTSAUTHPERSISTENT). E’ stato scelto di esfiltrare i cookie in modo silenzioso tramite Moduli Google, direttamente sul Drive personale:
Figura 11Cookie Exfiltration attraverso google forms
Con l’estensione pronta, il passo successivo è automatizzarne la distribuzione. Dopo aver compresso l’estensione in un file CRX e averlo caricato su VirusTotal, il risultato mostra che nessun fornitore di sicurezza la rileva attualmente come dannosa.
Faese2: Automazione della distribuzione con PowerShell
Per automatizzare il caricamento dell’estensione, verrà creato uno script di PowerShell che la caricherà nel profilo utente predefinito di Chrome. Ecco una parte del codice che l’ha eseguita:
Questo script di PowerShell carica l’estensione in un processo di Chrome appena avviato. Tuttavia, l’estensione rimane attiva solo per la durata di questa sessione di Chrome. Una volta chiuso Chrome, l’estensione verrà rimossa automaticamente.
Pertanto, è consigliabile pianificare l’esecuzione periodica di questo script (ad esempio, ogni poche ore o quotidianamente, operazione eseguibile tramite un’attività pianificata o una cartella di avvio). Sebbene esistano metodi per caricare le estensioni in modo persistente, come l’utilizzo di policy basate sul registro o l’iniezione dell’estensione direttamente nel file Secure Preferences di Chrome bypassando il Message Authentication Code (MAC), questi approcci sono più complessi e in genere richiedono privilegi amministrativi.
Le aziende potrebbero limitare l’uso degli script di PowerShell. In questi casi, sarà necessario trovare alternative, come Python, VBScript o macro, per ottenere risultati simili.
Fase 3: Iniezione dei cookie
Dopo aver rubato i cookie di sessione, il passaggio successivo consiste nell’iniettarli nel browser dell’attaccante per ottenere l’accesso desiderato. Per raggiungere questo scopo, è stata utilizzata un’estensione di Chrome chiamata Cookie-Editor (ID: hlkenndednhfkekhgcdicdfddnkalmdm), disponibile sul Chrome Web Store.
Figura 12 Editor di cookie legittimo
Per prima cosa, si copino i dati dei cookie restituiti dal modulo Google, che sono già in formato JSON.
Figura 13 Cookie estratti da Google Forms C2
Successivamente verranno importati i dati dei cookie copiati nell’estensione Cookie-Editor.
Infine, si aggiorni la pagina per accedere al portale cloud della vittima di destinazione. E’ stato osservato, nel registro di accesso di Azure, che sono riuscite due autenticazioni con lo stesso ID sessione da posizioni e versioni del browser diverse in un breve lasso di tempo: Il vantaggio di questo approccio è che garantisce una sessione valida all’infrastruttura Azure dell’utente di destinazione. Questa rimane valida indipendentemente dal fatto che la durata della sessione sia scaduta o sia stata revocata, poiché l’estensione persiste e viene attivata ogni volta che viene avviato l’accesso Microsoft.
Conclusioni
Questo PoC dimostra come un aggressore possa creare un ladro di cookie persistente utilizzando solo un’estensione del browser e l’automazione di PowerShell. Sfruttando gli hook degli eventi di autenticazione, l’attacco garantisce che i cookie di sessione validi vengano estratti continuamente, garantendo un accesso non autorizzato a lungo termine.
Questa tecnica non richiede un’infezione da malware, ma un semplice script, rendendola più difficile da rilevare. La persistenza viene ottenuta tramite il browser stesso, evitando modifiche al sistema. Gli aggressori possono aggirare l’MFA rubando i cookie di sessione a ogni tentativo di accesso.
L'articolo “Cookie-Bite”: L’attacco Segreto che Usa le Estensioni per Dirottare le Tue Sessioni Online proviene da il blog della sicurezza informatica.
actie.degoedezaak.org/petition…
Stop the steal! Geen 5% NAVO-norm!
Terwijl er nu al een kaalslag plaatsvindt op zorg, onderwijs, sociale zekerheid en pensioenen, moet er nóg meer naar tanks, raketten en vooral: naar Amerikaanse wapenfabrikanten.DeGoedeZaak
@classicalmusic
@baroquemusic
@womencomposers
#FrancescaCaccini 1587–1640?
'Chi desia' / Primo Libro della Musiche 1618/
#KurtJohnson & #StephanieRaby #Violin
#Barrett Sills #Cello
#MichaelLeopold #Guitar
#JesusPacheco #Percussion
#MatthewDirst #Organ
#musik #music #musique #musica #classicalmusic
#baroquemusic #FCaccini
youtube.com/watch?v=Z39HqtdNgz…
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
Conflit au Moyen-Orient: L’Iran menace les États-Unis après les frappes du week-end election-politique.com/index.p…
#VuDansLaPresse #newspaper #Politique #politics #International #Iran #USA
Accueil - Election Politique Citoyen
election france monde popularites referendum presidentielle legislatives senatoriales européenneswww.election-politique.com
AI search finds publishers starved of referral traffic
The AIpocalypse is here for web sites as search referrals plunge
: Turn out the lights, the internet is overThomas Claburn (The Register)
Meta pauses mobile port tracking tech on Android after researchers cry foul
Meta pauses mobile port tracking tech on Android after researchers cry foul
: Zuckercorp and Yandex used localhost loophole to tie browser data to app users, say boffinsThomas Claburn (The Register)
Scrivere a mano per mestiere: in Friuli Venezia Giulia nasce il «tecnico del segno» | Vanity Fair Italia
vanityfair.it/article/scrivere…
> È un esperto di calligrafia abilitato a insegnare l’arte della scrittura manuale nelle scuole primarie e secondarie. Potrà lavorare a fianco degli insegnanti, con un’attenzione particolare verso chi presenta disturbi dell’apprendimento
Matteo Zenatti reshared this.
ft.com/content/e39390cc-ea02-4…
Germany and Italy pressed to bring $245bn of gold home from US
Trump’s attacks on the Fed and growing geopolitical risks reignite public debate about repatriating bullionOlaf Storbeck (Financial Times)
Poesie
in reply to Poesie • • •Poesie
in reply to Poesie • • •On the way to my swim, finally dropped off something with an extended family member. There's a nice polite note with it explaining i won't be acting as drop off person any more. This will hopefully end some really petty family drama.
Though who knows? Drama lamas gotta drama. If they want something to get offended over, they'll find it.
And i haven't texted them to let them know it's been dropped at their front door because i just don't want to get into it. Just so done.
Poesie
in reply to Poesie • • •Poesie
in reply to Poesie • • •And really don't want it taking up storage space in my head.
Sorry to be a bit cryptic. Not trying to vaguepost (vaguetoot? 😂). Only being cautious about details because this city is still a small country town at times.
Poesie
in reply to Poesie • • •Poesie
in reply to Poesie • • •Poesie
in reply to Poesie • • •Heron on the rocks.
#ocean #swim #MerewetherBaths #NewcastleNSW #NewcastleAU #birds
Poesie
in reply to Poesie • • •Poesie
in reply to Poesie • • •