Gli specialisti Doctor Web hanno scoperto campioni di malware che, dopo un esame più attento, si sono rivelati componenti di una campagna di mining attiva per la criptovaluta Monero. Allo stesso tempo, vengono costruite due catene dannose lanciando script che estraggono payload dannosi da file di immagine in formato BMP.

Secondo i ricercatori, questa campagna è attiva dal 2022, come dimostra il file eseguibile Services.exe, che è un’applicazione .NET che esegue uno script VBscript. Questo script implementa funzioni backdoor contattando il server degli aggressori ed eseguendo script e file inviati in risposta. Sul computer della vittima viene così scaricato il file dannoso ubr.txt, che è uno script per l’interprete PowerShell, la cui estensione è stata modificata da ps1 a txt.

Lo script verifica la presenza di minatori che potrebbero essere già installati sulla macchina compromessa e li modifica nelle versioni di cui hanno bisogno gli aggressori. I file installati dallo script rappresentano il minatore SilentCryptoMiner e le sue impostazioni.

Va notato che nell’ambito di questa campagna i file dei minatori vengono mascherati da diversi software, ad esempio per videochiamate in Zoom (ZoomE.exe e ZoomX.exe) o servizi Windows (Service32.exe e Service64.exe).

Inoltre, il minatore accede al dominio getcert[.]net, che contiene il file m.txt con le impostazioni di mining di criptovaluta. Questa risorsa è stata utilizzata anche in altre catene di attacchi.

Gli esperti scrivono che ora gli aggressori hanno modificato la metodologia di attacco, rendendola più interessante, e hanno iniziato a utilizzare la steganografia.

La seconda e più recente catena di attacchi viene quindi implementata utilizzando il trojan Amadey, che esegue lo script PowerShell Async.ps1, scaricando immagini in formato BMP dall’host di immagini legittimo imghippo.com. Utilizzando la steganografia, da queste immagini vengono estratti due file eseguibili: lo stealer Trojan.PackedNET.2429 e il payload, che:

• disabilita la richiesta di elevazione dell’UAC per gli amministratori;
• introduce molte eccezioni a Windows Defender;
• disabilita le notifiche in Windows;
• crea una nuova attività nel percorso \Microsoft\Windows\WindowsBackup\ con il nome Utente.

Durante questa attività vengono contattati i domini dell’aggressore, il cui record DNS TXT contiene l’indirizzo di archiviazione per il successivo payload. Dopo averli scaricati, viene decompresso l’archivio con le immagini in formato BMP e vengono lanciati i seguenti file:

• txt – Script PowerShell che elimina eventuali altri minatori;
• txt – Script PowerShell che estrae il payload dalle immagini m.bmp e IV.bmp (il payload all’interno delle immagini è il miner SilentCryptoMiner e l’iniettore che lo esegue);
• txt è uno script che legge il record DNS TXT per i domini windowscdn[.]site e buyclients[.]xyz. Questa voce contiene un collegamento al payload che punta a raw.githack[.]com.

Si noti che i moduli dei minatori vengono costantemente sviluppati. Recentemente, gli autori di malware sono passati all’utilizzo di risorse legittime per ospitare immagini dannose e della piattaforma GitHub per archiviare i payload. Inoltre, sono stati scoperti moduli che controllano il fatto dell’avvio in sandbox e su macchine virtuali.

Uno dei portafogli specificati nelle impostazioni del minatore è stato creato nel maggio 2022 e ad oggi sono stati trasferiti su di esso 340 XMR. Basandosi sull’andamento dell’onda dell’hashrate (indicativo dei computer che si accendono e si spengono regolarmente), i ricercatori ritengono che questa campagna di mining coinvolga principalmente utenti ordinari che si trovano nello stesso gruppo di fusi orari. L’hashrate medio è di 3,3 milioni di hash al secondo, il che consente alle macchine compromesse di portare agli aggressori 1 XMR ogni 40 ore.

L'articolo Steganografia e Immagini BMP: Come il Cybercrime Attraverso Il Malware Mina Monero proviene da il blog della sicurezza informatica.

Nel vasto panorama della cybersecurity, una nuova frontiera ha preso forma: la guerra tra intelligenze artificiali. Ciò che una volta era considerato un tema di narrativa fantascientifica è ora una realtà tangibile, dove algoritmi avanzati si affrontano in una battaglia silenziosa ma decisiva per il controllo e la protezione delle infrastrutture digitali globali.

L’impiego dell’intelligenza artificiale da parte dei cybercriminali ha trasformato il modo in cui vengono condotti molti attacchi informatici. Malware, phishing e ransomware, strumenti già noti e temuti, hanno acquisito un livello di sofisticazione senza precedenti grazie all’utilizzo di modelli di machine learning. Gli hacker, da tempo, non si limitano più a colpire in modo indiscriminato; al contrario, sfruttano algoritmi predittivi per identificare vulnerabilità specifiche, analizzando grandi volumi di dati per massimizzare l’efficacia degli attacchi.

L’intelligenza artificiale permette di simulare comportamenti umani nei messaggi di phishing, rendendoli quasi indistinguibili da comunicazioni legittime. Inoltre, i bot alimentati da AI possono adattarsi in tempo reale alle difese incontrate, superando barriere che un tempo avrebbero rappresentato un ostacolo non trascurabile.

Dall’altra parte, le organizzazioni che si occupano di difesa cibernetica stanno rispondendo con la stessa arma. Le intelligenze artificiali utilizzate in ambito difensivo non si limitano a reagire agli attacchi, ma adottano approcci proattivi. Sistemi avanzati di rilevamento delle intrusioni sfruttano algoritmi di apprendimento automatico per analizzare enormi quantità di traffico di rete, identificando comportamenti anomali e potenziali minacce in tempo reale. Grazie alle loro avanzate capacità, questi sistemi sono in grado di discernere tra attività legittime e sospette, anche in presenza di tentativi sofisticati di mascheramento da parte degli aggressori.

Tuttavia, questa nuova fase del conflitto informatico non si limita a una semplice corsa agli armamenti. Il vero punto critico risiede nella capacità delle AI di apprendere dai propri fallimenti e migliorarsi costantemente. Gli attacchi e le difese basati su intelligenza artificiale non solo interagiscono, ma evolvono simultaneamente. Ogni vittoria da parte di un sistema di difesa fornisce agli aggressori informazioni preziose su come migliorare i propri strumenti, e viceversa. Questo ciclo di evoluzione continua rappresenta una sfida senza precedenti per gli esperti di sicurezza informatica, che devono trovare modi per mantenere un vantaggio competitivo in un contesto dove il margine di errore è sempre più ridotto.

Le implicazioni etiche e sociali di questa battaglia tecnologica sono enormi. L’uso dell’intelligenza artificiale da parte degli hacker criminali solleva interrogativi inquietanti sulla responsabilità nel cyberspazio.

In questo contesto, la formazione e l’aggiornamento continuo degli specialisti di sicurezza diventano imprescindibili. La capacità di comprendere e implementare tecnologie basate su intelligenza artificiale è ora una competenza essenziale, così come la consapevolezza delle loro potenziali vulnerabilità.

La guerra tra intelligenze artificiali è una realtà che non possiamo ignorare. La posta in gioco non è solo la sicurezza delle infrastrutture digitali, ma la fiducia stessa nella rete e nei sistemi che governano la nostra vita quotidiana. Il futuro della cybersecurity dipenderà anche dalla nostra capacità di sfruttare il potenziale dell’intelligenza artificiale per proteggerci, rimanendo un passo avanti rispetto a coloro che cercano di utilizzarla per scopi distruttivi.

L'articolo AI contro AI: la nuova Guerra tra difensori della Rete e Criminali per il Controllo del Cyberspazio proviene da il blog della sicurezza informatica.

The range of materials suitable for even the cheapest laser cutter is part of what makes them such versatile and desirable tools. As long as you temper your expectations, there’s plenty of material to cut with your 40 watt CO₂ laser or at least engrave—just not glass; that’s a tough one.

Or is it? According to [rschoenm], all it takes to engrave glass is a special coating. The recipe is easy: two parts white PVA glue, one part water, and two parts powdered titanium dioxide. The TiO₂ is the important part; it changes color when heated by the laser, forming a deep black line that adheres to the surface of the glass. The glue is just there as a binder to keep the TiO2 from being blasted away by the air assist, and the water thins out the goop for easy spreading with a paintbrush. Apply one or two coats, let it dry, and blast away. Vector files work better than raster files, and you’ll probably have to play with settings to get optimal results.

With plain float glass, [rschoenm] gets really nice results. He also tried ceramic tile and achieved similar results, although he says he had to add a drop or two of food coloring to the coating so he could see it against the white tile surface. Acrylic didn’t work, but there are other methods to do that.

youtube.com/embed/EW6fJqF9x-4?…

Thanks to [AbraKadabra] for the tip.

hackaday.com/2025/01/28/a-litt…

Microsoft fa un passo avanti nella lotta contro il phishing, annunciando una nuova funzionalità di sicurezza per Microsoft Teams, il popolare strumento di collaborazione aziendale. A partire da febbraio 2025, gli utenti saranno protetti da attacchi di phishing mirati che sfruttano la tecnica dell’impersonazione di marchi affidabili durante le chat con domini esterni.

Come funziona la nuova funzionalità di sicurezza

La funzionalità, parte del roadmap Microsoft 365 ID 421190, è progettata per intercettare potenziali rischi di impersonazione durante i primi contatti provenienti da domini esterni. Quando un utente riceve un messaggio da un mittente esterno, Teams analizzerà automaticamente il contenuto per identificare tentativi di phishing. In caso di rilevamento di un rischio elevato, sarà visualizzato un avviso chiaro e ben evidenziato, invitando l’utente a verificare attentamente nome e indirizzo email del mittente prima di accettare la comunicazione.

Questo sistema sarà abilitato di default, senza necessità di configurazione amministrativa. Inoltre, gli amministratori IT potranno monitorare i tentativi di impersonazione tramite i log di audit, assicurandosi che la funzionalità non interrompa i flussi di lavoro quotidiani.

La nuova funzionalità sarà distribuita in due fasi:

• Anteprima Targeted Release (Preview): il rilascio iniziale è previsto per fine ottobre 2024 e sarà disponibile per un gruppo selezionato di utenti.
• Rilascio globale (General Availability): la distribuzione a livello mondiale inizierà a metà novembre 2024 e si concluderà entro metà febbraio 2025.

Questa tempistica rappresenta un leggero ritardo rispetto alla data originale di gennaio 2025, ma garantisce una distribuzione più stabile e sicura per tutti gli utenti.

Perché è necessaria questa protezione

Le piattaforme di collaborazione, come Teams, sono diventate bersagli privilegiati dei cybercriminali, che sfruttano i contatti esterni per veicolare attacchi sofisticati. Organizzazioni che consentono comunicazioni con domini esterni sono particolarmente vulnerabili a campagne di phishing condotte da attori malevoli che si fingono rappresentanti di aziende fidate.

Ad esempio, gruppi come FIN7 e Storm-1811 hanno recentemente sfruttato Teams per impersonare il supporto IT delle aziende. Tattiche comuni includono:

• Email bombing: invio di migliaia di email per creare confusione.
• Falsi contatti su Teams: approfittano del caos generato per fingersi membri del team di supporto e ottenere accessi remoti agli endpoint.

Una volta ottenuto l’accesso, gli aggressori possono distribuire malware, rubare credenziali e, in alcuni casi, eseguire attacchi ransomware. Campagne come quella del ransomware Black Basta, osservate tra novembre 2024 e gennaio 2025, hanno causato danni ingenti sfruttando proprio queste tecniche.

Come prepararsi

Microsoft consiglia alle aziende di prepararsi in anticipo per l’introduzione di questa nuova funzionalità attraverso i seguenti passaggi:

1. Sensibilizzazione del personale: informare i dipendenti sugli avvisi di alto rischio e su come gestire i messaggi sospetti.
2. Aggiornamento della documentazione interna: includere informazioni sulle nuove misure di sicurezza e le procedure da seguire.
3. Formazione specifica: organizzare sessioni per insegnare a riconoscere segnali di phishing e utilizzare in modo corretto il flusso di accettazione/rifiuto dei messaggi.

Microsoft fornirà ulteriore documentazione prima del rilascio globale per aiutare le organizzazioni a integrare efficacemente la nuova funzionalità nei processi aziendali.

Conclusione

Con l’aumento degli attacchi alle piattaforme di collaborazione, la nuova protezione di Microsoft Teams rappresenta un ulteriore passo nella creazione di un ambiente digitale più sicuro. Questa funzionalità, pronta a diventare operativa entro febbraio 2025, non solo rafforza la sicurezza degli utenti, ma segna anche un impegno concreto di Microsoft contro le minacce sempre più sofisticate dei criminali informatici.

L'articolo Microsoft annuncia nuove misure contro gli attacchi phishing su Teams: la protezione inizia a febbraio 2025 proviene da il blog della sicurezza informatica.

Clone of Giornata della protezione dei dati: Solo l039;1,3% dei casi sottoposti alle autorità di protezione dei dati dell039;UE si conclude con una multa
Le autorità europee per la protezione dei dati non comminano quasi mai multe per le violazioni del GDPR
mickey28 January 2025

noyb.eu/it/data-protection-day…

noblogo.org/transit/mettiamo-u…

Transit

2025-01-27 13:26:04

Mettiamo una croce su "X"

(163)

“X” non è più un #socialmedia. Ci sono voluti molti mesi dopo la fine di “Twitter” e l’acquisizione da parte di #Musk. Per arrivarci è stato necessario sopportare una campagna elettorale americana (di cui ci si potrebbe tranquillamente fregare) e la rielezione di uno come #Trump. Vedere il “paron del vapore” scodinzolare affettuoso con il nuovo Presidente, in compagnia di tutti gli altri miliardari della ex “Silicon Valley”, è stato il terzo ed ultimo atto della parabola discendente di questa piattaforma. Durante i mesi che hanno preceduto le urne, Musk ha donato soldi e fango a piene mani: tutto pur di compiacere un anziano “tycoon”, pregiudicato, scapestrato, ignorante e razzista. Non deve essere parso vero al fabbricante d’auto quando un tale soggetto, eletto da milioni di fenomeni uguali a lui, lo ha chiamato addirittura a far parte del governo. Sembra un film di quelli per la TV, sciatto e con una sceneggiatura ridicola.

Eppure è così. Trump vuole ridare il diritto di parola, che nessuno ha mai tolto, all’America e un megafono come il social di Musk è lì, pronto e praticamente gratis. Via i controlli sulle fake news, via le restrizioni al linguaggio volgare, sessista e offensivo, via le moderazioni sulle vagonate di scemenze che scrive la gente: avanti con la libertà totale di insulto, con i contenuti pornografici e con un algoritmo talmente invasivo da diventare il vero gestore del tutto.

Quando “#Twitter” cambiò nome e dirigenza, molti se ne andarono perché non vedevano più quel social che avevano imparato ad usare (e amare?), quello vero, quello iniziale. Ancora più utenti resistettero, eroici, alle prime avvisaglie di disfacimento, arrivate con la personalità strabordante e cafona di Musk. Ma dopo il Novembre del 2024 tantissime persone hanno veramente raggiunto il limite di sopportazione ed hanno abbandonato la nave, che da allora batte decisamente la bandiera del “Non c’è nessun controllo.”

Dapprima gente famosa, poi moltissimi giornali, tanti attivisti e tante ONG hanno chiuso i loro account, seguiti dai profili della gente “comune”, stanca di continuare ad essere offesa, di non trovare più i post degli amici e di non uscire mai e poi mai sulla TL. Ormai conti, se l’algoritmo decide che sei utile allo sforzo propagandistico del vate o se, al contrario, sei talmente offensivo e razzista da veicolare un traffico importante. Il resto non serve a nulla: ci si illude per qualche giorno, magari con riscontri che appaiono gratificanti, per poi tornare a scrivere quasi solo per se stessi.

Portiamo noi come esempio. Abbiamo perso più di trecento follower nel giro di tre mesi, ed eravamo a quota 7000: ogni giorno continua una lenta emorragia, che a volte si ferma e la rotta si inverte, ma non dura mai. I post sono visti al massimo 500 volte: le interazioni sono praticamente nulle e i commenti raramente raggiungono la decina. Questi sono gli aridi numeri, che, comunque, sono relativi. Non siamo su “X” per la fama e la gloria (magari i soldi…), ma per veicolare la nostra opinione su cose che riteniamo importanti. Anche per cazzeggiare, ovvio: è lo scopo esiziale di un social.

La cosa che fa propendere per la chiusura è che non si riesce ad interagire più. A parte fare decine di post al giorno per uscire, prerogativa di quegli sfigati degli influencer o di chi non ha altri impegni, dovresti commentare ogni tre secondi da qualche parte per avere un minimo di contraddittorio. Ma non era questo lo scopo dei social? Non era discutere, confrontarsi, anche incazzarsi? Se una formula matematica si mette contro questa cosa, il social non è più quello per cui è stato pensato: è solo un enorme frullatore di cose, alcune validissime, la maggior parte pessime, in cui si gira a vuoto senza alcun approdo. Ci ripetiamo: alcuni continuano bellamente a fare “numeri” enormi, ma sono sempre gli stessi e la maggior parte è schierata decisamente con Musk e il suo enorme conflitto di interessi.

Il tempo scorre sempre e solo in avanti (l'abbiamo già detto) e perderne troppo in rete è abbastanza stupido. Poi, per amor del cielo, ognuno è libero di fare e dire ciò che gli pare, ma davvero ha ancora senso stare su “X”? Non apriamo il capitolo delle alternative, perché resta nel campo delle scelte personali e proporre un social più di un altro è veramente assurdo. Però è arrivato il momento, anche per noi (Ale è silente da molti mesi, ma l’account è il suo), di dire “Stop.”

“X” è diventato politica e quella che a noi non piace, quella di una nazione che vediamo allo sbando, sempre più arrogante, cinica, spietata, esattamente come i suoi rappresentanti. E’ il covo di una informazione fatta di dichiarazioni rocambolesche, di gesti plateali, di offese continue a chi non si allinea, di razzismo evidente, di violenza verbale e non, di sdoganamento dell’inutile a sfavore della profondità.

Basterebbe questo a rendere la nostra decisione dovuta. Aggiungiamo anche che il fatto di non leggere mai le persone che abbiamo a cuore (ve lo ricordate, sì, l’algoritmo?), quelle a cui ci siamo affezionati e che stimiamo, rende tutto più frustrante. Ecco, è per loro che siamo rimasti finora: per quelle risposte, per le loro domande, per le nostre domande, per il sostenerci nei nostri ideali e nelle tante utopie. Mancheranno, tanto, ma proprio per la coerenza che dovrebbe sempre muovere le azioni di tutti, dobbiamo andarcene.

Le vie del web sono infinite. Magari percorrendone una meno battuta ci si ritroverà.

[Alessandra & Daniele]

#SocialMedia #X #Blog #Personal #Opinioni #Opinion

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram

C'è un chiacchierio di campane
Più giù nella valle
ma si confonde
con lo stormir del vento
che carezza l'erba alta
Rifugio per cose ronzanti
Puntini di giallo
di viola e d'arancione
Profumo di legna antica
Scherzan le cornacchie non viste
oltre un arco di blu
Un'ombra percorre senza fatica
l'erto sentiero che punta all'insù
La vecchia cascina
ritrova le sue fronde

Tacciono i grilli un istante
Corre un bimbetto
e allegro mena strilli.
Respira, la natura;
In un refolo di vento repentino
comincia davvero a scaldare
il pigro sole del mattino -
Ti porge l'omaggio
di un volo di stormo
e richiama nel tempo passato
un ricordo vago speziato
S'apre un bivio,
nel folto del bosco
stampato su un tronco
un messaggio d’amore

TANTA ROBA, WOW!
Avanti di anni su tutti (era il 1977)

youtube.com/watch?v=ONY7NiD7DS…