A partire dal 2023, Rilide è emerso come una minaccia in crescita nel panorama degli infostealer. Prendendo di mira principalmente browser basati sul motore Chromium, come Google Chrome e Microsoft Edge, Rilide opera come un’estensione del browser, accedendo a credenziali di accesso, cookie e persino carte di credito e portafogli di criptovalute.

I ricercatori italiani di Delfi Security con questo articolo, hanno svolto un’indagine su un campione di Rilide distribuito insieme a un loader PowerShell per eludere i sistemi di detection. Il codice del loader include un meccanismo che invia un avviso con le informazioni di sistema a un canale Telegram ogni volta che il loader viene eseguito. A causa di una configurazione errata dei permessi del canale, è stato possibile accedervi, recuperare l’elenco completo dei dispositivi infetti e identificare l’account Telegram dal threat actor per gestire il canale.

Analisi del loader

Il loader PowerShell è suddiviso in due stage. Nel primo stage vengono definite due costanti: “p94oc”, che contiene il secondo stage crittografato con AES, e “UG8Nu5”, che contiene la chiave di decrittazione. Il codice viene eseguito tramite la funzione Invoke-Expression dopo essere stato decrittato dalla funzione decrypt():

Set-Variable p94oc -Option Constant -Value 'qlzVmHUcEvt0o[...]'

Set-Variable UG8Nu5 -Option Constant -Value System.Text.Encoding]::UTF8.GetString(([byte[]] ( 87, 103, 47, [...] ))))

function decrypt( $UG8Nu5, $T7Ek )

{

$LV2q = [System.Convert]::FromBase64String( $T7Ek )
$irW2N = $LV2q[0..15]
$nTMr = createAesManagedObject $UG8Nu5 $irW2N
$ybXNa = $nTMr.CreateDecryptor()
$M5Tz = $ybXNa.TransformFinalBlock( $LV2q, 16, $LV2q.Length - 16 )
$nTMr.Dispose()
return [System.Text.Encoding]::UTF8.GetString( $M5Tz ).Trim( [char] 0 )

}

Invoke-Expression ( decrypt $UG8Nu5 $p94oc )

Il secondo stage, una volta decrittato, esegue le seguenti azioni:

• Raccoglie informazioni sull’utente corrente, i suoi privilegi, il dispositivo e i gruppi locali presenti su di esso.
• Recupera l’indirizzo IP e la posizione del dispositivo inviando una richiesta GET a “ipapi.com/json/?fields=status,…
• Estrae l’estensione Rilide – memorizzata all’interno del secondo stage stesso – in una cartella temporanea: “C:\Users\[utente]\AppData\Roaming[valore casuale]\”.
• Raccoglie un elenco dei browser basati su Chromium installati e installa l’estensione copiando manualmente i file e modificando alcune chiavi di registro e file delle preferenze di sicurezza del browser.
• Elimina la cartella temporanea creata.
• Invia un report al threat actor tramite un canale Telegram dedicato, includendo le informazioni raccolte nel primo punto e un log completo dell’installazione. Per consentire ciò, nel codice sono inclusi il token del bot e l’ID del canale.

Un comportamento tipico per un loader di un information stealer. Durante l’analisi, il token del bot utilizzato per inviare messaggi al canale Telegram era ancora attivo. Ciò è stato verificato chiamando il metodo /getMe dell’API di Telegram tramite una richiesta GET all’indirizzo:

https://api.telegram.org/bot[BOT_ID]:[TOKEN]/getMe

La chiamata /getMe ha restituito informazioni di base sul bot, come il suo ID e il nome utente, confermando che il token era ancora valido:

Accesso al canale di notifica del loader

Al momento dell’analisi, il canale utilizzato per inviare i messaggi era privato, il che significa che solo i membri potevano vederne il contenuto. L’API Bot di Telegram offre numerose funzionalità, ma nessuna per leggere i messaggi da un canale. Tuttavia, alcuni metodi possono essere sfruttati per accedere al contenuto se il canale è configurato in modo insicuro.

Se il bot è amministratore del canale e dispone delle autorizzazioni necessarie, è possibile utilizzare il metodo /createChatInviteLink per generare un link che consente a qualsiasi utente di Telegram di unirsi al canale, inviando una richiesta GET a:

Nella maggior parte dei casi, i canali utilizzati dagli infostealer per ricevere aggiornamenti non consentono questo tipo di accesso. Tuttavia, questa volta, alla chiamata del metodo /createChatInviteLink, è stata restituita la seguente risposta:

Aprendo il link, qualsiasi utente poteva unirsi al canale, che al momento dell’analisi contava 3 iscritti (incluso il bot):

Il canale era attivo al momento dell’analisi e riceveva quotidianamente dozzine di nuovi messaggi da dispositivi infetti. Questi messaggi contenevano un allegato di testo con un log dell’installazione del malware, che riportava dati sull’ambiente di esecuzione (come il nome del dominio Active Directory, il percorso di installazione del malware e altro), eventuali errori riscontrati – probabilmente per scopi di debug – e informazioni di base sul sistema appena infettato:

Lo scraping del canale ha permesso di scoprire 291 dispositivi infetti insieme a informazioni di base sui sistemi. Laddove è stato possibile identificare le vittime tramite i dati presenti nel log di installazione (ad esempio attraverso i nomi dei domini Active Directory), le parti interessate sono state avvisate.

Identificazione dell’account utilizzato per gestire il canale

Utilizzando una richiesta GET all’indirizzo:

è stato possibile identificare l’account utilizzato dal threat actor per gestire il canale:

L’account era ancora attivo al momento dell’analisi:

Sebbene talvolta sia possibile scoprire informazioni interessanti sugli account Telegram se le loro impostazioni di privacy sono configurate in modo errato, in questo caso non è stato così. Pertanto, l’indagine su questo account è stata interrotta a questo punto.

Conclusione

Telegram è stato sfruttato da attori malevoli per anni, e i distributori di infostealer non fanno eccezione. L’uso dei canali Telegram offre diversi vantaggi agli attaccanti, come l’eliminazione della necessità di un hosting web. Tuttavia, i canali configurati in modo errato possono fornire informazioni cruciali agli analisti, poiché è sempre possibile estrarre il token del bot e l’ID del canale dal campione di malware. Inoltre, è possibile inondare il canale con dati falsi, rendendolo inutilizzabile per il proprietario. In alcuni casi, si può persino rimuovere il proprietario o chiudere il canale.

Delfi Security ritiene che ogni incident responder potrebbe trarre beneficio dalla capacità di valutare la sicurezza dei canali Telegram e di applicare tale conoscenza quando affronta campioni di malware che li utilizzano per C&C o es

L'articolo Infiltrati nel Canale Telegram di Rilide Infostealer! Gli esperti italiani ci spiegano come funziona proviene da il blog della sicurezza informatica.

“Uzeda – Do it yourself” è un docufilm, realizzato dalla regista Maria Arena (e prodotto da DNA audiovisivi e dalla casa di produzione indipendente Point Nemo) che racconta la storia degli Uzeda, fondamentale alternative/math/noise rock band italiana, formatasi nel 1987, che ha tracciato il proprio percorso musicale senza scinderlo da quello umano, fortemente etico.... @Musica Agorà

iyezine.com/uzeda-arriva-nei-c…

Uzeda, arriva nei cinema il docufilm "Do it yourself"

Uzeda, arriva nei cinema il docufilm "Do it yourself" - "Uzeda - Do it yourself" è un docufilm, realizzato dalla regista Maria Arena (e prodotto da DNA audiovisivi e dalla casa di produzione indipendente Point Nemo) che racconta la storia degli Uzeda…

^{Reverend Shit-Man (In Your Eyes ezine)}

Monos : la realtà vuole però che la band nasca da una folgorazione (probabilmente non di origine divina) avuta da Mr. Bonobo e Mr. Gorilla rispettivamente alla chitarra e alla batteria. La loro prima uscita è datata 2019 mentre il nuovo album è alle porte.

@Musica Agorà

iyezine.com/monos-road-to-perv…

Monos - "Road to Perversion" e quattro chiacchiere

Monos - "Road to Perversion" e quattro chiacchiere - Monos : la realtà vuole però che la band nasca da una folgorazione (probabilmente non di origine divina) avuta da Mr. Bonobo e Mr. Gorilla rispettivamente alla chitarra e alla batteria.

^{Claudio Frandina (In Your Eyes ezine)}

I Khost sono un pianeta oscuro che vaga per lo spazio cerebrale mietendo vittime, portando con sé un rumorismo molto potente, e fatto di industrial, doom, drone, dark ambient, nosie geneticamente modificato e molto di più.
@Musica Agorà

iyezine.com/khost-many-things-…

Khost - Many Things Afflict Us Few Things Console Us

Khost - Many Things Afflict Us Few Things Console Us - I Khost sono un pianeta oscuro che vaga per lo spazio cerebrale mietendo vittime, portando con sé un rumorismo molto potente, e fatto di industrial, doom, drone, dark ambient, nosie geneticamente…

^{Massimo Argo (In Your Eyes ezine)}

Ever want a seriously powerful PCB for charging a Li-Ion pack? Whatever you want it for, [Redherring32] has got it — it’s a board bearing the TPS25750D and BQ25713 chips, that lets you push up to 100 W into your 1S Li-Ion pack through the magic of USB Power Delivery (USB-PD).

Why do you need so much power? Well, when you put together a large amount of Li-Ion cells, this is how you charge it all at once – an average laptop might charge the internal battery at 30 W, and it’s not uncommon for laptop batteries to be dwarfed by hackers’-built packs.

A 4-layer creation peppered with vias, this board’s a hefty one — it’s not often that you see a Li-Ion charger designed to push as much current as possible into a cell, and the chips are smart enough for that. As far as the onboard chips’ capabilities go, the board could handle pack configurations from 1S to 4S, and even act as a USB-PD source — check the IC configuration before you expect to use it for any specific purpose.

Want a simpler charger, even if it’s less powerful? Remember, you can use PPS-capable PD chargers for topping up Li-Ion packs, with barely any extra hardware required.

hackaday.com/2024/10/04/need-h…

Abbiamo parlato in un precedente articolo del Tech Model Railroad Clubdell’MIT, dove tutto ebbe inizio, dicendo che “l’hacking è un percorso e non una destinazione”, raccontandovi che la cultura hacker prende forma da molto lontano.

Ma abbiamo anche visto che l’hacking non è riferito solo all’Information Technology ma abbraccia tutte le discipline, e che

“Quando cerchi di superare un limite, di superare quel muro che hai davanti con innovazione e virtuosismo, diventi anche tu un “hacker”.

Una immagine del Tech Model Railroad Club dove nasce la community Hacker

Gli insegnamenti della cultura hacker

Nel corso del tempo, la cultura Hacker è stata influenzata e plasmata da differenti persone e gruppi che hanno rincorso la chimera della curiosità, dell’arte, dell’intelletto, dell’innovazione, assetati di vedere oltre, dove gli altri non erano riusciti a farlo prima.

Anche Steve Jobs disse in una sua famosa frase “siate affamati e siate folli”.

Ma non dimentichiamoci che anche lui assieme all’amico Wozniak militava all’interno del gruppo “Homebrew Computer Club” dove dal 1975 e per ben 10 anni, si parlava solo di schede e circuiti, oltre alla condivisione di informazioni su tutto quello che ruotava attorno ai microcomputer.

La follia è alla base delle più grandi innovazioni di sempre!

Clayton Christensen dell’università di Harvard

Nella teoria imprenditoriale, la “Disruptive Innovation” (termine coniato da Clayton Christensen dell’università di Harvard) viene definita come “una innovazione che crea un nuovo mercato e una rete di valore interrompendo quello esistente, sostituendo aziende, prodotti e alleanze leader del mercato”.

L’hacking è qualcosa di grande!

Questo di fatto è saper “Intaccare”, saper innovare, saper carpire piccoli dettagli, con intuito, per poi poterli plasmare, migliorare per poi arrivare a concetti totalmente nuovi, a mondi completamente inesplorati e sconosciuti.

Ma perché molti imprenditori e innovatori, in settori diversi, vengono presi per matti?

E’ normale … tutto questo, fa parte della psicologia umana.

Vedere le cose in maniera non convenzionale spaventa a molti ed in particolrare spaventa:

• coloro che traggono benefici dal rimanere stanziali;
• chi ama non uscire dalla propria Confort zone;
• chi avrebbe potuto arrivare alla stessa tua idea, ma banamente non ci è riuscito o non ci ha mai provato;
• chi potrebbe subire problemi qualora la tua idea andasse in porto.

Il primo ufficio del fondatore di Amazon Jeff Bezos

I grandi innovatori hanno saputo cogliere le occasioni

Jeff Bezos, il famoso fondatore di Amazon partì da una idea apparentemente semplice, quella di vendere libri online. Spesso cita il famoso “Giorno Uno”, quel mix di eccitazione e incertezza, classico di una cosa promettente che sta per cominciare ma che nessuno ne conosce le sue reali potenzialità.

Ad esempio, l’emergenza legata al Coronavirus può essere una nuova opportunità da cavalcare, per incominciare a sviluppare una visione strategica diversa, implementare nuovi servizi, nuovi modi di utilizzare la tecnologia abbinata ai processi aziendali, produttivi, distributivi e commerciali.

Ci sarà sicuramente chi cavalcherà questo futuro, perché sarà capace di “Intaccare” tutto quello che esiste già e lo farà con una nuova “innovazione”. Ogni innovatore ha sempre creduto fortemente in quello che faceva dal primo giorno e non si è mai abbattuto una volta arrivati i primi fallimenti.

Gli insegnamenti dei fallimenti sono una cosa importante

Sicuramente ad ogni nuova avventura, è importante saper superare gli ostacoli interiori, guardarsi dentro, in particolare scoprire la paura di fallire, ma diciamola meglio “essere in grado di fallire”, perché fa parte del proprio autocontrollo e di saper perseverare e saper aspettare.

“Gli imprenditori presenti o futuri, devono imparare ad accettare il fallimento, mettendo in conto che accadrà, il successo di solito non arriva subito, ma occorrerà cadere e poi rialzarsi più forti di prima. Questo lo dobbiamo imparare.“

Inoltre noi Italiani non siamo amanti dei fallimenti.

In altri paesi il fallimento è percepito come un elemento positivo, perché fa parte della nostra storia, vuol dire che ci hai provato e che quella non era la strada giusta e che dovrai migliorarla per puntare meglio all’obiettivo.

Imparare dai propri errori è fondamentale. Esattamente come veniva fatto settanta anni fa al Tech Model Railroad Club.

Quindi… siate gli Hacker del vostro futuro!

L'articolo L’Hacking è follia? Un viaggio tra innovazione, ingegno perseveranza e passione proviene da il blog della sicurezza informatica.

What is with all the wasted space on keyboards? There’s a whole back side just sitting there doing nothing. But how can you use the back at the same time as the front?
All the board sandwiches must be wired together like this, natch.
Just when we think Google Japan can’t possibly produce another weird, amazing keyboard that actually works and comes with full documentation, they go and outdo themselves with this ortholinear Mobius thing that wastes (almost) no space. (Japanese, translated) Be sure to check out the video after the break where hilarity ensues.

This crazy thing is made up of 26 modules, each with 8 key switches, four on a side. Do the math — that’s a total of 208 keys! More than enough to stretch out around the table and do some group programming without rubbing elbows. All the switches are hot-swappable, and there’s even RGB backlighting. The controller here is the STM32F042F4P6.

So what are all the extra keys for? Well, the keyboard is half in Japanese and half QWERTY, and has a set of emoji keys as well for the full programming experience. You can also make a paper version if you want to test out the topology.

Be sure to check out the documentation, because it’s pretty interesting how this keyboard is put together. And no, we’re not sure how to set it down and use it without accidental key presses. Suppose that’s part of the charm?

Have you ever wondered what happened to all the Japanese computers of yore? We did.

youtube.com/embed/EHqPrHTN1dU?…

Thanks for the tip, [CityZen]!

hackaday.com/2024/10/03/mobius…

Bits of material levitating against gravity, a stream of water deflected by invisible means, sparks of light appearing out of thin air; with observations like those, it’s a wonder that the early experiments into the nature of electricity progressed beyond the catch-all explanation of magic. And yet they did, but not without a lot of lamb’s bladders and sulfur globes, and not a little hand waving in the process. And urine — lots and lots of urine.

Looking into these early electrical experiments and recreating them is the unlikely space [Sam Gallagher] has staked out with the “Experimental History of Electricity,” a growing playlist on his criminally undersubscribed YouTube channel. The video linked below is his latest, describing the apparatus one Francis Hauksbee used to generate static electric charges for his early 18th-century experiments. Hauksbee’s name is nowhere near as well-known as that of Otto von Guericke or William Gilbert, who in the two centuries before Hauksbee conducted their own experiments and who both make appearances in the series. But Hauksbee’s machine, a rotating glass globe charged by the lightest touch of a leather pad, which [Sam] does a fantastic job recreating as closely as possible using period-correct materials and methods, allowed him to explore the nature of electricity in much greater depth than his predecessors.

But what about the urine? As with many of the experiments at the time, alchemists used what they had to create the reagents they needed, and it turned out that urine was a dandy source of phosphorous, which gave off a brilliant light when sufficiently heated. The faint light given off by mercury when shaken in the vacuum within a barometer seemed similar enough that it became known as the “mercurial phosphor” that likely inspired Hauksbee’s electrical experiments, which when coupled with a vacuum apparatus nearly led to the invention of the mercury discharge lamp, nearly 200 years early. The more you know.

youtube.com/embed/bpdfkwqs-Zs?…

Thanks to [RoGeorge] for the tip.

hackaday.com/2024/10/03/on-the…