One of the best things about adulthood is that finally we get to, in most cases, afford ourselves the things that our parents couldn’t (or just didn’t for whatever reason). When [Yakroo108] was a child, Walkmans were expensive gadgets that were out of reach of the family purse. But today, we can approximate these magical music machines ourselves with off-the-shelf hardware.

Besides the cyberpunk aesthetic, the main attraction here is the UNIHIKER Linux board running the show. After that, it’s probably a tie between that giant mystery knob and the super-cool GUI made with Tkinter.

We also like the fact that there are two displays: the smaller one on the SSD1306 OLED handles the less exciting stuff like the volume level and the current time, so that the main UNIHIKER screen can have all the equalizer/cyberpunk fun.

Speaking of, this user-friendly GUI shows play/stop buttons and next buttons, but it looks like there’s no easy way to get to the previous track. To each their own, we suppose. Everything is enclosed in a brick-like 3D-printed enclosure that mimics early Walkmans with orange foam headphones.

If you want an updated Walkman with keyboard switches (who wouldn’t?), check this out.

hackaday.com/2025/01/21/cyber-…

I ricercatori di Intezer Labs hanno identificato una serie di attacchi informatici contro organizzazioni nelle regioni di lingua cinese, tra cui Hong Kong, Taiwan e la Cina continentale. Questi attacchi utilizzano il downloader multifase PNGPlug per diffondere il malware ValleyRAT.

L’attacco inizia con una pagina di phishing che convince la vittima a scaricare un file MSI dannoso mascherato da software legittimo. Una volta avviato, questo file esegue due compiti: installa un’applicazione innocua per creare l’illusione di legittimità ed estrae un archivio crittografato contenente componenti dannosi.

Il file MSI utilizza la funzionalità CustomAction di Windows Installer per eseguire codice dannoso. L’archivio crittografato “all.zip” viene decrittografato utilizzando la password integrata “hello202411“. I componenti principali includono “libcef.dll” (il downloader), “down.exe” (l’applicazione legittima) e i file “aut.png” e “view.png“, che sono mascherati da immagini ma contengono dati dannosi.

Il compito del caricatore “libcef.dll” è preparare un ambiente per l’esecuzione del malware. Apporta modifiche al file di sistema “ntdll.dll” per inserire i dati in memoria e analizzare i parametri della riga di comando. Se viene rilevato il parametro /aut, il boot loader estrae il percorso del file down.exe, lo scrive nel registro ed esegue il codice dal file aut.png. Altrimenti viene eseguito il file “view.png” e il suo contenuto viene inserito nel processo “colorcpl.exe”.

ValleyRAT, distribuito utilizzando PNGPlug, è un malware sofisticato attribuito al gruppo Silver Fox. Questo strumento include meccanismi di esecuzione multilivello come l’esecuzione di shellcode in memoria, l’esecuzione privilegiata e la presenza persistente nel sistema tramite il registro e le attività di pianificazione.

L’analisi mostra che gli attacchi utilizzano un’ampia gamma di tattiche: siti di phishing, mascheramento di file dannosi come programmi legittimi e utilizzo di software gratuito che i dipendenti sono spesso costretti a utilizzare a causa della mancanza di strumenti aziendali.

Il gruppo Silver Fox APT è specializzato in operazioni di spionaggio rivolte a organizzazioni di lingua cinese, compreso l’uso di ValleyRAT e Gh0st RAT per raccogliere dati, monitorare l’attività e fornire moduli aggiuntivi. La campagna si distingue per il suo focus su un pubblico monolingue, che ne sottolinea la portata e l’obiettivo strategico. La mancanza di investimenti nella sicurezza informatica da parte delle vittime aumenta la loro vulnerabilità a tali attacchi.

L’utilizzo del caricatore modulare PNGPlug consente agli aggressori di adattare la minaccia a diverse campagne, il che la rende particolarmente pericolosa. Questi eventi dimostrano la necessità di implementare tecniche avanzate di rilevamento e protezione contro le minacce in continua evoluzione.

L'articolo PNGPlug: Quando il Malware è nascosto dentro immagini innocenti proviene da il blog della sicurezza informatica.

Un nuovo capitolo si aggiunge alla lista degli attacchi informatici contro grandi aziende: il threat actor “LaFouine” ha dichiarato di essere in possesso di un database Carrefour Francia e di averlo messo in vendita su un forum dedicato alle violazioni di dati. Se confermata, questa fuga di informazioni rappresenterebbe un disastro senza precedenti per l’azienda e i suoi clienti.

Questo accade dopo che un altra grande distribuzione è stata colpita da un attacco ransomware da parte di criminali informatici di Lynx che hanno preso di mira la Conad qualche giorno fa.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

La violazione

Secondo le informazioni fornite dall’attore malevolo, il presunto dataset comprende dati personali e sensibili di oltre 13 milioni di clienti che hanno effettuato ordini sul sito web di Carrefour. Tra i dettagli rubati spiccano:

• Nome e cognome
• Indirizzo, CAP, città e stato
• Numero di telefono e email
• Informazioni sul profilo utente
• Data di nascita
• Preferenze di acquisto
• ID carrello, totale spese, sconti e risparmi accumulati

Si tratterebbe, se confermato, di un vero tesoro per i cybercriminali, che potrebbero sfruttare questi dati per furti di identità, frodi finanziarie e campagne di phishing mirate.

Come potrebbe essere avvenuto l’attacco?

Sebbene i dettagli tecnici del breach non siano stati ancora divulgati, le dinamiche suggeriscono alcune ipotesi sulle TTPs (Tactics, Techniques, Procedures) potenzialmente utilizzate:

• SQL Injection: sfruttando vulnerabilità nei database del sito web.
• Accesso non autorizzato: tramite credenziali rubate o deboli associate ai sistemi di gestione.
• Phishing mirato: colpendo dipendenti o fornitori con email fraudolente e successivamente attraverso movimenti laterali nella rete.
• Esfiltrazione di dati: sfruttando endpoint non adeguatamente protetti.

Nonostante le ipotesi, una domanda cruciale resta: Carrefour ha sottovalutato i rischi di sicurezza?

Raccomandazioni

Per limitare i danni e prevenire futuri incidenti, è necessario adottare azioni decisive.

Per l’Azienda

• Effettuare un’analisi interna per identificare la fonte del breach e collaborare con esperti di cybersecurity per risolvere le vulnerabilità.
• Informare tempestivamente i clienti sull’accaduto, fornendo indicazioni su come proteggere i propri dati.
• Migliorare la sicurezza con standard di crittografia avanzati, controlli di accesso più rigidi e audit regolari per prevenire ulteriori minacce.

Per i clienti coinvolti

• Monitorare regolarmente i propri conti bancari e account online per rilevare eventuali attività sospette.
• Cambiare immediatamente le password associate agli account Carrefour e adottare credenziali uniche e robuste.
• Prestare attenzione a email o messaggi sospetti che richiedano informazioni personali o finanziarie

Conclusione

Questo attacco dimostra ancora una volta come le grandi aziende siano bersagli ambiti per i cybercriminali. Tuttavia, non si tratta solo di una questione aziendale: ogni individuo coinvolto rischia conseguenze reali e tangibili.

La vicenda deve servire da monito per tutte le organizzazioni, grandi e piccole: investire in sicurezza informatica non è solo una scelta strategica, ma una responsabilità imprescindibile in un mondo digitale sempre più vulnerabile.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo 13 milioni di clienti Carrefour a Rischio: Il Threat Actors li mette in vendita nel Dark Web proviene da il blog della sicurezza informatica.

I ricercatori di Positive Technologies hanno studiato il mercato della darknet e hanno analizzato i prezzi dei servizi e dei beni informatici illegali, nonché i costi sostenuti dagli aggressori per effettuare attacchi. Per questo studio, gli esperti hanno analizzato 40 fonti in russo e inglese, inclusi i più grandi forum e mercati della darknet, nonché canali Telegram su vari argomenti. In totale sono stati studiati più di 20.000 messaggi che parlavano di malware, vulnerabilità, accesso alle reti aziendali e servizi della criminalità informatica.

I risultati della ricerca nelle underground

A quanto pare, il tipo di malware più costoso è il ransomware, con un costo medio di 7.500 dollari. Di particolare valore sono anche gli exploit 0-day, che spesso vengono venduti per milioni di dollari. Tuttavia, i ricercatori scrivono che il profitto netto di un attacco riuscito può essere in media cinque volte superiore al costo della sua preparazione, anche a prezzi elevati.

Secondo gli esperti, organizzare uno scenario popolare di attacchi di phishing utilizzando ransomware costa ai criminali informatici alle prime armi almeno 20.000 dollari.

Se la preparazione per un attacco inizia da zero, gli hacker criminali affittano server dedicati, acquistano abbonamenti a servizi VPN e altri strumenti per creare un’infrastruttura di controllo sicura e anonima. Tra i costi rientrano anche l’acquisto tramite abbonamento del codice sorgente del malware o del malware già pronto, i programmi per scaricarlo sul sistema della vittima e per camuffarlo dalle misure di sicurezza.
Costo della preparazione di un attacco?
Inoltre, gli hacker criminali possono acquistare l’accesso dagli Initial Access Broker (IaB) scegliendo l’azienda presa di mira e quindi utilizzare servizi per aumentare i privilegi sul sistema compromesso. Va notato che l’elenco dei prodotti e delle opzioni, nonché il malware e le relative istruzioni, possono semplificare il più possibile le attività dei principianti.

Loader, Ransomware, infostealer. Tutto serve per un attacco riuscito

Il malware è uno degli strumenti principali nell’arsenale di un hacker. Pertanto, il 53% degli annunci pubblicitari riguardanti tali programmi sono in vendita.

Nel 19% dei casi sono stati messi in vendita infostealer progettati per rubare dati, nel 17% cryptolocker e strumenti di offuscamento del codice che consentono di nascondersi dalle misure di sicurezza, nel 16% downloader / loader.

Il costo medio di questo tipo di malware è rispettivamente di 400, 70 e 500 dollari. Il malware più costoso è il ransomware, il cui costo medio è di 7.500 dollari (ci sono anche offerte per 320.000 dollari). Questo malware viene distribuito principalmente attraverso un programma di affiliazione (RaaS, Ransomware-as-a-Service), i cui partecipanti ricevono il 70–90% del riscatto della vittima. Per diventare un “affiliato” di solito è necessario versare un contributo di 0,05 Bitcoin (da 5.000 dollari) e avere una buona reputazione sulla darknet.

Un altro strumento di attacco popolare sono gli exploit: il 69% degli annunci su questo argomento sono legati alle vendite, mentre i messaggi relativi alle vulnerabilità zero-day guidano con una quota del 32%. Nel 31% dei casi, il costo degli exploit supera i 20.000 dollari e talvolta può raggiungere diversi milioni.

I prezzi più bassi sono inerenti all’accesso alle reti aziendali delle aziende: il 72% degli annunci in questo segmento sono in vendita e il 62% di essi arriva fino a 1.000 dollari.

0day ed exploit fanno la differenza

Tra i servizi hacker, il più popolare è l’hacking di risorse (49% dei messaggi): ad esempio, i prezzi per compromettere un account di posta elettronica personale partono da 100 dollari e per una casella di posta aziendale da 200 dollari.

“Sulle piattaforme underground, i prezzi si formano principalmente in due modi: o i venditori stessi determinano un prezzo fisso, oppure si tengono aste. Questi ultimi sono rilevanti per prodotti esclusivi, ad esempio per gli exploit zero-day. Guadagnano denaro anche le risorse su cui si svolgono le transazioni, anche con l’aiuto dei propri servizi di garante, che trattengono temporaneamente i fondi dell’acquirente fino a quando non conferma la ricezione del prodotto o del servizio. Su molti siti tali servizi sono forniti da uno degli amministratori o da utenti con una buona reputazione. Per questo ricevono almeno il 4% dell’importo della transazione: le tariffe sono stabilite dai forum stessi“, commenta Dmitry Streltsov, analista del dipartimento di ricerca analitica di Positive Technologies.

L'articolo Quanto Costa Un Attacco Ransomware? Ai Black Hacker bastano 20.000 Dollari! proviene da il blog della sicurezza informatica.

Una nuova ricerca ha identificato problemi in diversi protocolli di tunneling. Più di 4 milioni di sistemi sono vulnerabili a questi bug, inclusi server e router VPN. Gli esperti hanno avvertito che gli host che accettano pacchetti tunnel senza verificare il mittente potrebbero essere hackerati e utilizzati per effettuare attacchi anonimi e ottenere l’accesso alle reti.

Lo studio è stato pubblicato da Top10VPN ed è stato realizzato in collaborazione con la professoressa e rinomata ricercatrice di sicurezza informatica della KU Leuven Mathy Vanhoef e lo studente laureato Angelos Beitis. Si noti che Vanhof è ampiamente noto per le sue ricerche nel campo della sicurezza Wi-Fi. Così è stato lui a scoprire e descrivere problemi sensazionali come SSID Confusion, Frag AttacksDragonblood e KRACK .

La ricerca e il bug rilevato

Questa volta gli esperti hanno studiato i protocolli di tunnelingche vengono utilizzati per trasferire dati tra reti diverse e consentono di trasferire dati che potrebbero non supportare (ad esempio, lavorando con IPv6 su una rete IPv4). Per fare ciò, incapsulano alcuni pacchetti all’interno di altri.

Sulla base di ricerche precedenti che hanno dimostrato che gli host IPv4 accettano traffico IPIP non autenticato da qualsiasi fonte, Vanhoof e Baitis hanno identificato diversi protocolli di tunneling (inclusi IPIP/IP6IP6, GRE/GRE6, 4in6 e 6in4) che sono vulnerabili agli abusi perché non forniscono l’autenticazione e crittografare il traffico senza applicare la sicurezza adeguata (ad esempio, utilizzando IPsec).

Gli esperti spiegano che i sistemi configurati in modo errato accettano i pacchetti tunnel senza verificare il mittente. Ciò consente agli aggressori di inviare pacchetti appositamente predisposti contenenti l’indirizzo IP della vittima a un host vulnerabile, costringendo l’host a inoltrare un pacchetto interno alla vittima, che apre la porta agli aggressori per lanciare ulteriori attacchi.

“Gli aggressori devono semplicemente inviare un pacchetto incapsulato utilizzando uno dei protocolli interessati con due intestazioni IP. L’intestazione esterna contiene l’indirizzo IP di origine dell’aggressore e la destinazione è l’indirizzo IP dell’host vulnerabile. L’intestazione interna contiene l’indirizzo IP dell’host vulnerabile, non dell’aggressore”, spiegano gli esperti.

Pertanto, dopo aver ricevuto un pacchetto dannoso, l’host vulnerabile rimuove automaticamente l’intestazione esterna e inoltra il pacchetto interno alla sua destinazione. Dato che l’indirizzo IP nel pacchetto interno appartiene a un host vulnerabile ma affidabile, riesce a bypassare i filtri di rete.

Non solo VPN

È stato riferito che gli aggressori possono utilizzare questa tecnica per condurre attacchi anonimi, incluso l’utilizzo di host come proxy unidirezionali, conducendo attacchi DoS e spoofing DNS, nonché per ottenere l’accesso alle reti interne e ai dispositivi IoT.

I ricercatori hanno scansionato Internet e hanno scoperto che 4,26 milioni di host sono vulnerabili a questi problemi, inclusi server VPN, router (che i provider forniscono ai propri abbonati), router backbone, gateway, nodi di rete mobile e CDN. Va notato che più di 1,8 milioni di questi host vulnerabili possono essere utilizzati per lo spoofing.

La maggior parte degli appliance vulnerabili è stata trovata in Cina, Francia, Giappone, Stati Uniti e Brasile.

4 CVE emesse dai ricercatori

“Tutti gli host vulnerabili possono essere compromessi per effettuare attacchi anonimi perché le intestazioni dei pacchetti esterni contenenti il ​​vero indirizzo IP dell’aggressore vengono rimosse. Tuttavia, questi attacchi possono essere facilmente ricondotti a un host compromesso, che può quindi essere protetto, scrivono i ricercatori. Gli host adatti allo spoofing possono utilizzare qualsiasi indirizzo IP come indirizzo di origine nel pacchetto interno, quindi non solo l’aggressore rimane anonimo, ma l’host compromesso diventa molto più difficile da rilevare e proteggere.”

Di conseguenza, alle vulnerabilità identificate sono stati assegnati gli identificatori CVE CVE-2024-7595 (GRE e GRE6), CVE-2025-23018 (IPv4-in-IPv6 e IPv6-in-IPv6), CVE-2025-23019 (IPv6- in-IPv4) e CVE-2024-7596 (UDP generico Incapsulamento).

“Gli aggressori possono sfruttare queste vulnerabilità per creare proxy unidirezionali e falsificare gli indirizzi di origine IPv4/6”, aggiunge il Centro di coordinamento CERT (CERT/CC). “I sistemi vulnerabili potrebbero anche consentire l’accesso alla rete privata di un’organizzazione o essere utilizzati per condurre attacchi DDoS”.

Per protezione, gli esperti consigliano di utilizzare IPSec o WireGuard per fornire autenticazione e crittografia e di accettare pacchetti sottoposti a tunnel solo da fonti attendibili. Si consiglia inoltre di implementare il filtraggio del traffico a livello di rete su router e nodi intermedi, utilizzare DPI e bloccare tutti i pacchetti sottoposti a tunnel non crittografati.

Dettagli tecnici più approfonditi dello studio sono disponibili in un articolo scientifico già pubblicato da Vanhoof e Baitis.

L'articolo Gravi Vulnerabilità nei Protocolli VPN: 4 Milioni di Sistemi Vulnerabili a Nuovi Bug di Tunneling! proviene da il blog della sicurezza informatica.

L'opposizione slovacca ha ritirato la propria partecipazione alla seduta parlamentare straordinaria in cui si sarebbe dovuta votare la mozione di sfiducia al governo.



La decisione è stata presa in segno di protesta nei confronti del premier Robert Fico, che in mattinata aveva stabilito che la seduta si sarebbe dovuta tenere a porte chiuse. 

Fico aveva motivato questa mossa sulla base di alcune informazioni ricevute dai servizi segreti slovacchi secondo cui ci sarebbero delle influenze che vorrebbero destabilizzare la Slovacchia e organizzare una sorta di Maidan. 



La decisione, la prima di questo tipo nella storia della Slovacchia democratica, ha creato un grande clima di tensione e per tale motivo la seduta è stata annullata. Probabilmente verrà riprogrammata nei prossimi giorni.


Domani il presidente Peter Pellegrini si recherà nella sede dei servizi segreti per ottenere maggiori informazioni.

La stretta di Donald Trump sull'immigrazione illegale rischia di avere serie conseguenze anche su molti cittadini polacchi che si trovano negli Stati Uniti ma non hanno regolarizzato la loro posizione.

Il primo ministro Tusk ha chiesto agli uffici consolari di prepararsi a potenziali deportazioni sottolineando la necessità di garantire che i cittadini polacchi siano informati e supportati in mezzo a questi sviluppi.

Tusk ha rassicurato sul fatto che la Polonia è pronta ad accogliere chi si trovasse colpito da questa situazione.

🇸🇰 La notizia di oggi in questa parte d'Europa è il voto sulla mozione di sfiducia al governo slovacco che si terrà nelle prossime ore. Difficile che passi, ma è il sintomo che per Fico le cose non stanno andando proprio benissimo.

A portare al voto di oggi è stato il viaggio a Mosca prima di Natale, in cui il premier slovacco è andato a chiedere aiuto a Putin a fronte dell'imminente stop al transito del gas russo, deciso da Kyiv, attraverso il territorio ucraino.

La mossa di Fico non è piaciuta a Hlas, il partito del presidente Pellegrini, alleato di governo, che teme una deriva antieuropa e anti NATO. Le opposizioni hanno come si suol dire, fiutato il sangue, e annunciato la mozione di sfiducia.

Una decina di giorni fa una partecipata manifestazione, a Bratislava ma anche in altre città della Slovacchia, aveva manifestato aperto dissenso verso le politiche di Fico, più preoccupato ad accattivarsi il benvolere di Putin che a governare il Paese.

A cavalcare questo momento è Michal Šimečka, leader di Slovacchia Progressista, principale partito di opposizione, che secondo i sondaggi oggi sarebbe il primo partito con il 23,9% delle preferenze. (Smer il partito di Fico è al 18%).

Come detto, è difficile che la mozione di oggi passi. I deputati di Hlas non sembrano intenzionati ad appoggiarla, tuttavia le possibilità non stanno a zero.

Formalmente oggi la maggioranza è di un solo deputato (76 su 150), per quanto i tre ribelli ultranazionalisti continuino comunque a votare in linea col governo.

Insomma, nella piccola Slovacchia non ci si annoia mai.

I titoli di stato non vengono conteggiati nel calcolo dell’ISEE, un vantaggio che sembra fatto su misura per i risparmiatori. Ma cosa si cela dietro questa scelta?

Da un lato, è un chiaro incentivo per finanziare il debito pubblico spingendo i cittadini a investire direttamente nello Stato. Dall’altro, potrebbe indurre molti a concentrare i propri risparmi in un’unica direzione, riducendo la diversificazione.

È davvero una grande opportunità per i risparmiatori o una strategia per esigenze di bilancio statale? Voi cosa ne pensate?

A pochi giorni di distanza dall'annuncio di $Trump, memecoin di Donald Trump, anche la prossima first lady americana lancia la sua criptovaluta, la $MELANIA. Basata sulla blockchain di Solana, ha aumentato il suo valore del 188% nelle prime 10 ore.

Tra poche ore Trump giurerà come presidente degli Stati Uniti.

Lascio a voi le vostre conclusioni.

Come nota personale constato che la sezione commenti del mio canale Telegram è bombardata di spam di queste due criptovalute.

rp.pl/waluty/art41701131-melan…

Melania Trump wyemitowała memiczną kryptowalutę

Melania Trump, przyszła (i zarazem była) pierwsza dama USA, wyemitowała własną, "memiczną" kryptowalutę o nazwie $MELANIA.

^{Hubert Kozieł (Rzeczpospolita)}