Floppies were once the standard method of information exchange, but decades of storage can render them unreadable, especially if mold sets in. [Rob Smith] wanted to clean some floppies in style and made a Disco Rube Goldberg-Style device for the job.

Starting with a disk caddy on linear rails, [Smith] has a track for the floppy to follow. First it goes through a set of pads with cleaning solution on them, and is then dried off with heating elements. To make it more fun, the device has LEDs and a set of speakers at the bottom to treat the disk to a more complete car wash-esque experience.

Cotton swabs and a cleaning solution are all you really need to do the job by hand, but if you have a lot of floppies, that can get tedious quickly. [Smith] compares his machine’s performance to doing it by hand with both IPA and a dish soap solution showing that his machine does indeed clean the disks and usually makes them more readable than they were before. He cautions that it might be best to make multiple copies of the disk during the cleaning process as it isn’t always constructive though.

Thinking about archiving that stack of floppies under your workbench? While Linux doesn’t support the drives anymore, we’ve covered a couple different methods in the past and the importance of reading the flux.

youtube.com/embed/KIELJe1ZnfI?…

Durante delle analisi di sicurezza effettuate su alcuni prodotti di vari vendor, il Red Team Research di TIM (RTR), ha rilevato 7 nuove vulnerabilità 0day. Il Red Team Research è il laboratorio di ricerca dei bug di sicurezza non documentati sviluppato all’interno di Telecom Italia Mobile.

RTR opera attraverso il processo di Coordinated Vulnerability Disclosure (CVD), quel processo che consente ai vendor di prodotto di implementare le patch di sicurezza prima della diffusione pubblica e quindi prima della quotazione della severity della CVE effettuata dal NIST degli Stati Uniti D’America.

Si tratta di 7 vulnerabilità emesse su tre differenti prodotti, tra i quali OpenText Vertica, Livebox e Italtel. Di seguito l’elenco completo delle CVE Emesse sui vari Vendor:

Nel dettaglio, le principali vulnerabilità rilevate sono le seguenti:

CVE-2023-7248 – OpenText Vertica Management console

Vulnerability Description: Improper Input Validation – CWE-20

• Software Version: 10.x, 11.1.1-24 or lower, 12.0.4-18 or lower
• NIST: nvd.nist.gov/vuln/detail/CVE-2…
• CVSSv3: 9,8
• Severity: Critical
• Credits: Gabriele Duchi, Davide Brian Di Campi, Tiziano Di Vincenzo, Massimiliano Brolli
• Certain functionality in OpenText Vertica Management console might be prone to bypass via crafted requests. The vulnerability would affect one of Vertica’s authentication functionalities by allowing specially crafted requests and sequences.

OpenText Vertica Management Console è uno strumento di gestione e monitoraggio per il database analitico Vertica. Fornisce un’interfaccia utente grafica che consente agli amministratori di database di eseguire attività come configurazione, monitoraggio delle prestazioni, gestione degli utenti e manutenzione del sistema. La console è stata progettata per semplificare la gestione e ottimizzare le operazioni relative al database.

CVE-2022-45171– Livebox Collaboration vDesk

Vulnerability Description: Unrestricted Upload of File with Dangerous Type – CWE-434

• Software Version:
• NIST: nvd.nist.gov/vuln/detail/CVE-2…
• CVSv3: 8.8
• Severity: High
• Credits: Massimiliano Ferraresi, Andrea Carlo Maria Dattola, Luca Borzacchiello, Mario Cola, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk through v018. An Unrestricted Upload of a File with a Dangerous Type can occur under the vShare web site section. A remote user, authenticated to the product, can arbitrarily upload potentially dangerous files without restrictions.

Livebox Collaboration vDesk è una piattaforma di collaborazione aziendale che offre strumenti per comunicazione, condivisione di file e gestione dei progetti. Consente ai team di lavorare insieme in tempo reale, attraverso chat, videoconferenze e condivisione di documenti. La piattaforma è progettata per facilitare il lavoro remoto e la collaborazione tra membri del team, indipendentemente dalla loro posizione geografica.

Di seguito vengono elencati I bug hunter che hanno riscontrato le varie vulnerabilità:

• Massimiliano Ferraresi
• Andrea Carlo Maria Dattola
• Luca Borzacchiello
• Mario Cola
• Luca Carbone
• Fabio Romano
• Gabriele Duchi
• Davide Brian Di Campi
• Tiziano Di Vincenzo

Il Red Team Research di TIM

Il Red TIM Research (o Red Team Research), è uno tra i pochi centri italiani di ricerca sui bug di sicurezza, nato da una idea di Massimiliano Brolli nel 2018. In questo laboratorio da diverso tempo vengono effettuate attività di “Bug hunting” che mirano alla ricerca di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.

Nel corso di 6 anni di attività, il Red Team Research ha rielevato moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.

Nel corso del tempo, sono stati emessi oltre 110 CVE, dove più di 10 risultano con severità Critical (9,8 di score CVSSv3).

Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.

Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.

L'articolo Il Red TIM Research emette 7 nuove CVE. Una con score 9,8 su OpenText Vertica proviene da il blog della sicurezza informatica.

Un nuovo malware Android chiamato BingoMod è in grado di rubare denaro dai conti bancari delle vittime e quindi distruggere i dati sui dispositivi infetti. Il malware si diffonde tramite messaggi SMS e finge di essere un prodotto di sicurezza per i dispositivi mobili.

Gli specialisti di Cleafy scrivono che BingoMod è ancora in fase di sviluppo e il suo autore si concentra principalmente sull’offuscamento del codice e su vari meccanismi di evasione del rilevamento. Sulla base dei commenti nel codice, i ricercatori ritengono che BingoMod potrebbe essere opera di uno sviluppatore rumeno.

BingoMod Mascherato da APP Sicure

Come accennato in precedenza, il malware viene distribuito tramite SMS e solitamente utilizza nomi diversi, tra cui: APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo e APKAppScudo. Allo stesso tempo, è stato notato che in un caso il malware utilizzava l’icona del vero strumento gratuito AVG AntiVirus & Security, disponibile nel Google Play Store.

Durante l’installazione, BingoMod chiede all’utente il permesso di utilizzare i servizi di accessibilità, che consentono di abusare delle funzionalità avanzate per controllare il dispositivo.

Una volta che inizia a funzionare sul dispositivo della vittima, il malware ruba tutte le credenziali rilevate, acquisisce screenshot e intercetta i messaggi SMS. Crea inoltre un canale socket per ricevere comandi e un canale basato su HTTP per l’invio di screenshot, consentendo agli operatori del malware di eseguire operazioni remote quasi in tempo reale.

Va notato che una delle caratteristiche principali di BingoMod è che si basa sulle capacità dei servizi di accessibilità per impersonare l’utente e consentire la richiesta di trasferire il contenuto dello schermo tramite l’API di proiezione multimediale.

Comandi Remoti e Controllo del Dispositivo

“Il motore VNC (Virtual Network Computing) abusa dell’API Media Projection di Android per recuperare i contenuti dello schermo in tempo reale. Una volta ricevuto, viene convertito in un formato adeguato e trasmesso tramite HTTP all’infrastruttura degli aggressori”, scrivono i ricercatori.

Tra i comandi che gli operatori remoti possono inviare a BingoMod ci sono quello di fare clic su un’area specifica dello schermo, inserire testo in una posizione specifica e avviare un’applicazione specifica.

Inoltre, il malware consente attacchi manuali utilizzando overlay e notifiche false create dagli aggressori. Inoltre, un dispositivo infetto da BingoMod può essere utilizzato per diffondersi ulteriormente tramite SMS.

Tuttavia, il malware ha altre caratteristiche interessanti. Ad esempio, è in grado di rimuovere soluzioni di sicurezza dai dispositivi infetti, nonché di bloccare applicazioni specifiche specificate dall’operatore.

Evitare il rilevamento e cancellare i dati

Secondo Cleafy, per evitare il rilevamento, i creatori di malware utilizzano l’appiattimento del codice e l’offuscamento delle stringhe. A giudicare dalle statistiche di VirusTotal, questi trucchi producono il risultato desiderato e il malware è difficile da rilevare dai prodotti antivirus.

Inoltre, se BingoMod viene registrato sul dispositivo come applicazione con diritti di amministratore, gli aggressori possono inviare da remoto un comando per cancellare il sistema.

Gli analisti notano che questa funzione viene attivata solo dopo il successo del trasferimento dei dati e influisce solo sulla memoria esterna. Tuttavia, per distruggere completamente i dati, gli hacker criminali possono utilizzare le funzionalità di accesso remoto esistenti, cancellare tutti i dati e ripristinare le impostazioni di fabbrica del dispositivo.

L'articolo Nuovo Malware per Android BingoMod: Il Furto di Denaro e la Distruzione dei Dati è servita proviene da il blog della sicurezza informatica.

Astra Group , uno dei leader nel mercato russo dello sviluppo software, ha rilasciato una nuova versione del suo prodotto di punta : il sistema operativo Astra Linux 1.8.

La nuova Astra 1.8 è un fork del famoso progetto internazionale Debian 12.5 Bookworm, più della metà del cui pacchetto base è stato modificato e migliorato dagli sviluppatori russi. Perché era necessario, dal momento che Debian sviluppa e supporta attivamente la comunità?

Innanzitutto, il sistema operativo russo deve soddisfare i requisiti di certificazione. In secondo luogo è necessario eliminare tutte le vulnerabilità note presenti nei pacchetti. In terzo luogo, la revisione del fornitore russo mira a migliorare le applicazioni per il pubblico domestico. La portata del lavoro svolto è testimoniata dal fatto che il processo di sviluppo della versione 1.8 ha richiesto più di cento anni-uomo.

Una delle innovazioni chiave di Astra Linux 1.8 sono i profili di configurazione consigliati già pronti per gli strumenti di sicurezza delle informazioni (IS) per vari scenari di utilizzo. Questa innovazione faciliterà il lavoro degli specialisti della sicurezza delle informazioni responsabili del funzionamento dei sistemi la cui sicurezza è regolata dalle autorità di regolamentazione (ISPDn, GIS, sistemi di controllo automatizzato dei processi, sistemi di controllo elettronico. Per ogni tipo di sistema esiste un proprio ordine FSTEC, suddiviso in classi/livelli).

Astra Linux 1.8 include un DBMS relazionale sicuro, creato sulla base e compatibile con PostgreSQL 15 e che soddisfa i requisiti normativi della 1a categoria di FSTEC, introdotta nel 2023 nella Federazione Russa.

L’innovazione più evidente in Astra Linux 1.8 è lo stile visivo di Astra Proxima, sviluppato sulla base di un’analisi delle reali esigenze degli utenti. Si distingue per sobrietà, design minimalista, facile navigazione e soluzioni grafiche moderne. Nello stile Astra Proxima, è stato progettato un programma di installazione del sistema operativo migliorato, che consente di installare il sistema operativo in un solo passaggio dopo aver raccolto i parametri necessari.

Lo sviluppatore ha inoltre fornito un meccanismo per aggiornare il sistema senza reinstallarlo e la possibilità di ripristinare l’aggiornamento in caso di errore, il che rende il processo più sicuro.

Astra Linux 1.8 rappresenta un miglioramento significativo rispetto alla versione 1.7. Miglioramenti nelle prestazioni, supporto per nuovo hardware, automazione degli aggiornamenti, installazione, impostazioni di sicurezza delle informazioni, stile visivo e struttura del repository rendono questo sistema operativo più conveniente, funzionale e sicuro.

L'articolo Esce Astra Linux 1.8! La Fork di Debian 12.5 con Sicurezza Potenziata made in Russia proviene da il blog della sicurezza informatica.

Magnetic materials are typically divided into ferromagnetic and antiferromagnetic types, depending on their magnetic moments (electron spins), resulting in either macroscopic (net) magnetism or not. Altermagnetism is however a recently experimentally confirmed third type that as the name suggests alternates effectively between these two states, demonstrating a splitting of the spin energy levels (spin-split band structure). Like antiferromagnets, altermagnets possess a net zero magnetic state due to alternating electron spin, but they differ in that the electronic band structure are not Kramers degenerate, which is the feature that can be tested to confirm altermagnetism. This is the crux of the February 2024 research paper in Nature by [J. Krempaský] and colleagues.

Specifically they were looking for the antiferromagnetic-like vanishing magnetization and ferromagnetic-like strong lifted Kramers spin degeneracy (LKSD) in manganese telluride (MnTe) samples, using photoemission spectroscopy in the UV and soft X-ray spectra. A similar confirmation in RuO2 samples was published in Science Advances by [Olena Fedchenko] and colleagues.

What this discovery and confirmation of altermagnetism means has been covered previously in a range of papers ever since altermagnetism was first proposed in 2019 by [Tomas Jungwirth] et al.. A 2022 paper published in Physical Review X by [Libor Šmejkal] and colleagues details a range of potential applications (section IV), which includes spintronics. Specific applications here include things like memory storage (e.g. GMR), where both ferromagnetic and antiferromagnetics have limitations that altermagnetism could overcome.

Naturally, as a fairly new discovery there is a lot of fundamental research and development left to be done, but there is a good chance that within the near future we will see altermagnetism begin to make a difference in daily life, simply due to how much of a fundamental shift this entails within our fundamental understanding of magnetics.

Heading image: Illustrative models of collinear ferromagnetism, antiferromagnetism, and altermagnetism in crystal-structure real space and nonrelativistic electronic-structure momentum space. (Credit: Libor Šmejkal et al., Phys. Rev. X, 2022)

Introduction

In May 2020, Bitdefender released a white paper containing a detailed analysis of Mandrake, a sophisticated Android cyber-espionage platform, which had been active in the wild for at least four years.

In April 2024, we discovered a suspicious sample that appeared to be a new version of Mandrake. Ensuing analysis revealed as many as five Mandrake applications, which had been available on Google Play from 2022 to 2024 with more than 32,000 installs in total, while staying undetected by any other vendor. The new samples included new layers of obfuscation and evasion techniques, such as moving malicious functionality to obfuscated native libraries, using certificate pinning for C2 communications, and performing a wide array of tests to check if Mandrake was running on a rooted device or in an emulated environment.

Our findings, in a nutshell, were as follows.

• After a two-year break, the Mandrake Android spyware returned to Google Play and lay low for two years.
• The threat actors have moved the core malicious functionality to native libraries obfuscated with OLLVM.
• Communication with command-and-control servers (C2) uses certificate pinning to prevent capture of SSL traffic.
• Mandrake is equipped with a diverse arsenal of sandbox evasion and anti-analysis techniques.

Kaspersky products detect this threat as
HEUR:Trojan-Spy.AndroidOS.Mandrake.*.

Technical details

Background

The original Mandrake campaign with its two major infection waves, in 2016–2017 and 2018–2020, was analyzed by Bitdefender in May 2020. After the Bitdefender report was published, we discovered one more sample associated with the campaign, which was still available on Google Play.

The Mandrake application from the previous campaign on Google Play

In April 2024, we found a suspicious sample that turned out to be a new version of Mandrake. The main distinguishing feature of the new Mandrake variant was layers of obfuscation designed to bypass Google Play checks and hamper analysis. We discovered five applications containing Mandrake, with more than 32,000 total downloads. All these were published on Google Play in 2022 and remained available for at least a year. The newest app was last updated on March 15, 2024 and removed from Google Play later that month. As at July 2024, none of the apps had been detected as malware by any vendor, according to VirusTotal.

Mandrake samples on VirusTotal

Applications

Mandrake applications on Google Play

We were not able to get the APK file for
com.brnmth.mtrx, but given the developer and publication date, we assume with high confidence that it contained Mandrake spyware.

Application icons

Malware implant

The focus of this report is an application named AirFS, which was offered on Google Play for two years and last updated on March 15, 2024. It had the biggest number of downloads: more than 30,000. The malware was disguised as a file sharing app.

AirFS on Google Play

According to reviews, several users noticed that the app did not work or stole data from their devices.

Application reviews

Infection chain

Like the previous versions of Mandrake described by Bitdefender, applications in the latest campaign work in stages: dropper, loader and core. Unlike the previous campaign where the malicious logic of the first stage (dropper) was found in the application DEX file, the new versions hide all the first-stage malicious activity inside the native library
libopencv_dnn.so, which is harder to analyze and detect than DEX files. This library exports functions to decrypt the next stage (loader) from the assets/raw folder.

Contents of the main APK file

Interestingly, the sample
com.shrp.sght has only two stages, where the loader and core capabilities are combined into one APK file, which the dropper decrypts from its assets.
While in the past Mandrake campaigns we saw different branches (“oxide”, “briar”, “ricinus”, “darkmatter”), the current campaign is related to the “ricinus” branch. The second- and third-stage files are named “ricinus_airfs_3.4.0.9.apk”, “ricinus_dropper_core_airfs_3.4.1.9.apk”, “ricinus_amber_3.3.8.2.apk” and so on.

When the application starts, it loads the native library:

Loading the native library

To make detection harder, the first-stage native library is heavily obfuscated with the OLLVM obfuscator. Its main goal is to decrypt and load the second stage, named “loader“. After unpacking, decrypting and loading into memory the second-stage DEX file, the code calls the method
dex_load and executes the second stage. In this method, the second-stage native library path is added to the class loader, and the second-stage main activity and service start. The application then shows a notification that asks for permission to draw overlays.
When the main service starts, the second-stage native library
libopencv_java3.so is loaded, and the certificate for C2 communications, which is placed in the second-stage assets folder, is decrypted. The treat actors used an IP address for C2 communications, and if the connection could not be established, the malware tried to connect to more domains. After successfully connecting, the app sends information about the device, including the installed applications, mobile network, IP address and unique device ID, to the C2. If the threat actors find their target relevant on the strength of that data, they respond with a command to download and run the “core” component of Mandrake. The app then downloads, decrypts and executes the third stage (core), which contains the main malware functionality.

Second-stage commands:

Third stage commands:

When Mandrake receives a
start_v command, the service starts and loads the specified URL in an application-owned webview with a custom JavaScript interface, which the application uses to manipulate the web page it loads.
While the page is loading, the application establishes a websocket connection and starts taking screenshots of the page at regular intervals, while encoding them to base64 strings and sending these to the C2 server. The attackers can use additional commands to adjust the frame rate and quality. The threat actors call this “vnc_stream”. At the same time, the C2 server can send back control commands that make application execute actions, such as swipe to a given coordinate, change the webview size and resolution, switch between the desktop and mobile page display modes, enable or disable JavaScript execution, change the User Agent, import or export cookies, go back and forward, refresh the loaded page, zoom the loaded page and so on.

When Mandrake receives a
start_i command, it loads a URL in a webview, but instead of initiating a “VNC” stream, the C2 server starts recording the screen and saving the record to a file. The recording process is similar to the “VNC” scenario, but screenshots are saved to a video file. Also in this mode, the application waits until the user enters their credentials on the web page and then collects cookies from the webview.
The
start_a command allows running automated actions in the context of the current page, such as swipe, click, etc. If this is the case, Mandrake downloads automation scenarios from the URL specified in the command options. In this mode, the screen is also recorded.
Screen recordings can be uploaded to the C2 with the
upload_i or upload_d commands.
The main goals of Mandrake are to steal the user’s credentials, and download and execute next-stage malicious applications.

Data decryption methods

Data encryption and decryption logic is similar across different Mandrake stages. In this section, we will describe the second-stage data decryption methods.

The second-stage native library
libopencv_java3.so contains AES-encrypted C2 domains, and keys for configuration data and payload decryption. Encrypted strings are mixed with plain text strings.
To get the length of the string, Mandrake XORs the first three bytes of the encrypted array, then uses the first two bytes of the array as keys for custom XOR encoding.

Strings decryption algorithm

The key and IV for decrypting AES-encrypted data are encoded in the same way, with part of the data additionally XORed with constants.

AES key decryption

Mandrake uses the OpenSSL library for AES decryption, albeit in quite a strange way. The encrypted file is divided into 16-byte blocks, each of these decrypted with AES-CFB128.

The encrypted certificate for C2 communication is located in the
assets/raw folder of the second stage as a file named cart.raw, which is decrypted using the same algorithm.

Installing next-stage applications

When Mandrake gets an
apk command from the C2, it downloads a new separate APK file with an additional module and shows the user a notification that looks like something they would receive from Google Play. The user clicking the notification initiates the installation process.
Android 13 introduced the “Restricted Settings” feature, which prohibits sideloaded applications from directly requesting dangerous permissions. To bypass this feature, Mandrake processes the installation with a “session-based” package installer.

Installing additional applications

Sandbox evasion techniques and environment checks

While the main goal of Mandrake remains unchanged from past campaigns, the code complexity and quantity of the emulation checks have significantly increased in recent versions to prevent the code from being executed in environments operated by malware analysts. However, we were able to bypass these restrictions and discovered the changes described below.

The versions of the malware discovered earlier contained only a basic emulation check routine.

Emulator checks in an older Mandrake version

In the new version, we discovered more checks.

To start with, the threat actors added Frida detection. When the application starts, it loads the first-stage native library
libopencv_dnn.so. The init_array section of this library contains the Frida detector function call. The threat actors used the DetectFrida method. First, it computes the CRC of all libraries, then it starts a Frida detect thread. Every five seconds, it checks that libraries in memory have not been changed. Additionally, it checks for Frida presence by looking for specific thread and pipe names used by Frida. So, when an analyst tries to use Frida against the application, execution is terminated. Even if you use a custom build of Frida and try to hook a function in the native library, the app detects the code change and terminates.
Next, after collecting device information to make a request for the next stage, the application checks the environment to find out if the device is rooted and if there are analyst tools installed. Unlike some other threat actors who seek to take advantage of root access, Mandrake developers consider a rooted device dangerous, as average users, their targets, do not typically root their phones. First, Mandrake tries to find a su binary, a SuperUser.apk, Busybox or Xposed framework, and Magisk and Saurik Substrate files. Then it checks if the system partition is mounted as read-only. Next, it checks if development settings and ADB are enabled. And finally, it checks for the presence of a Google account and Google Play application on the device.

C2 communication

All C2 communications are maintained via the native part of the applications, using an OpenSSL static compiled library.

To prevent network traffic sniffing, Mandrake uses an encrypted certificate, decrypted from the
assets/raw folder, to secure C2 communications. The client needs to be verified by this certificate, so an attempt to capture SSL traffic results in a handshake failure and a breakdown in communications. Still, any packets sent to the C2 are saved locally for additional AES encryption, so we are able to look at message content. Mandrake uses a custom JSON-like serialization format, the same as in previous campaigns.
Example of a C2 request:
node #1
{
uid "a1c445f10336076b";
request "1000";
data_1 "32|3.1.1|HWLYO-L6735|26202|de||ricinus_airfs_3.4.0.9|0|0|0||0|0|0|0|Europe/Berlin||180|2|1|41|115|0|0|0|0|loader|0|0|secure_environment||0|0|1|0||0|85.214.132.126|0|1|38.6.10-21 [0] [PR] 585796312|0|0|0|0|0|";
data_2 "loader";
dt 1715178379;
next #2;
}
node #2
{
uid "a1c445f10336076b";
request "1010";
data_1 "ricinus_airfs_3.4.0.9";
data_2 "";
dt 1715178377;
next #3;
}
node #3
{
uid "a1c445f10336076b";
request "1003";
data_1 "com.airft.ftrnsfr\n\ncom.android.calendar\n\[redacted]\ncom.android.stk\n\n";
data_2 "";
dt 1715178378;
next NULL;
}
Example of a C2 response:
node #1
{
response "a1c445f10336076b";
command "1035";
data_1 "";
data_2 "";
dt "0";
next #2;
}
node #2
{
response "a1c445f10336076b";
command "1022";
data_1 "20";
data_2 "1";
dt "0";
next #3;
}
node #3
{
response "a1c445f10336076b";
command "1027";
data_1 "1";
data_2 "";
dt "0";
next #4;
}
node #4
{
response "a1c445f10336076b";
command "1010";
data_1 "ricinus_dropper_core_airfs_3.4.1.9.apk";
data_2 "60";
dt "0";
next NULL;
}
Mandrake uses opcodes from 1000 to 1058. The same opcode can represent different actions depending on whether it is used for a request or a response. See below for examples of this.

• Request opcode 1000: send device information;
• Request opcode 1003: send list of installed applications;
• Request opcode 1010: send information about the component;
• Response opcode 1002: set contact rate (client-server communication);
• Response opcode 1010: install next-stage APK;
• Response opcode 1011: abort next-stage install;
• Response opcode 1022: request user to allow app to run in background;
• Response opcode 1023: abort request to allow app to run in background;
• Response opcode 1027: change application icon to default or Wi-Fi service icon.

Attribution

Considering the similarities between the current campaign and the previous one, and the fact that the C2 domains are registered in Russia, we assume with high confidence that the threat actor is the same as stated in the Bitdefender’s report.

Victims

The malicious applications on Google Play were available in a wide range of countries. Most of the downloads were from Canada, Germany, Italy, Mexico, Spain, Peru and the UK.

Conclusions

The Mandrake spyware is evolving dynamically, improving its methods of concealment, sandbox evasion and bypassing new defense mechanisms. After the applications of the first campaign stayed undetected for four years, the current campaign lurked in the shadows for two years, while still available for download on Google Play. This highlights the threat actors’ formidable skills, and also that stricter controls for applications before being published in the markets only translate into more sophisticated, harder-to-detect threats sneaking into official app marketplaces.

Indicators of Compromise

File Hashes
141f09c5d8a7af85dde2b7bfe2c89477
1b579842077e0ec75346685ffd689d6e
202b5c0591e1ae09f9021e6aaf5e8a8b
31ae39a7abeea3901a681f847199ed88
33fdfbb1acdc226eb177eb42f3d22db4
3837a06039682ced414a9a7bec7de1ef
3c2c9c6ca906ea6c6d993efd0f2dc40e
494687795592106574edfcdcef27729e
5d77f2f59aade2d1656eb7506bd02cc9
79f8be1e5c050446927d4e4facff279c
7f1805ec0187ddb54a55eabe3e2396f5
8523262a411e4d8db2079ddac8424a98
8dcbed733f5abf9bc5a574de71a3ad53
95d3e26071506c6695a3760b97c91d75
984b336454282e7a0fb62d55edfb890a
a18a0457d0d4833add2dc6eac1b0b323
b4acfaeada60f41f6925628c824bb35e
cb302167c8458e395337771c81d5be62
da1108674eb3f77df2fee10d116cc685
e165cda25ef49c02ed94ab524fafa938
eb595fbcf24f94c329ac0e6ba63fe984
f0ae0c43aca3a474098bd5ca403c3fca

Domains and IPs
45.142.122[.]12
ricinus[.]ru
ricinus-ca[.]ru
ricinus-cb[.]ru
ricinus-cc[.]ru
ricinus[.]su
toxicodendron[.]ru

securelist.com/mandrake-apps-r…

Introduction

Cybercriminals who specialize in ransomware do not always create it themselves. They have many other ways to get their hands on ransomware samples: buying a sample on the dark web, affiliating with other groups or finding a (leaked) ransomware variant. This requires no extraordinary effort, as source code is often leaked or published. With a set of standard tools and a freshly built (and sometimes slightly altered) ransomware sample, victims can be sought, and the malicious activity can spread.

In the past months, we released several private reports detailing exactly this. You will find a few excerpts from these below. To learn more about our crimeware reporting service, contact us at crimewareintel@kaspersky.com.

SEXi

This past April, IxMetro was hit by an attack that used a still-new ransomware variant dubbed “SEXi”. As the name suggests, the group focuses primarily on ESXi applications. In each of the cases we investigated, the victims were running unsupported versions of ESXi, and there are various assumptions about the initial infection vector.

The group deploys one of two types of ransomware variants depending on the target platform: Windows or Linux. Both samples are based on leaked ransomware samples, namely Babuk for the Linux version and Lockbit for Windows. This is the first time we’ve seen a group use different leaked ransomware variants for their target platforms.

Another thing that sets this group apart is their contact method. Attackers will typically leave a note with an email address or leak site URL in it, but in this case, the note contained a user ID associated with the Session messaging app. The ID belonged to the attackers and was used across different ransomware attacks and victims. This signifies a lack of professionalism, as well as the fact that the attackers did not have a TOR leak site.

Key Group

While the SEXi group has employed leaked ransomware variants from two malware families, other groups have taken this approach to a whole different level. For example, Key Group, aka keygroup777, has used no fewer than eight different ransomware families throughout their relatively short history (since April 2022) – see the image below.

Use of leaked ransomware builders by Key Group

We were able to link different variants to Key Group by their ransom notes. In a little over two years that the group has been active, they have adjusted their TTPs slightly with each new ransomware variant. For example, the persistence mechanism was always via the registry, but the exact implementation differed by family. Most of the time, autorun was used, but we’ve also seen them using the startup folder.

For example, UX-Cryptor added itself to the registry as shown below.
HKU\$usersid\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "$selfpath"
HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsInstaller" = "$selfpath -startup"
"MSEdgeUpdateX" = "$selfpath"
HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\RunOnce
"System3264Wow" = "$selfpath --init"
"OneDrive10293" = "$selfpath /setup"
"WINDOWS" = "$selfpath --wininit"
While the Chaos ransomware variant copied itself to
$user\$appdata\cmd.exe and launched a new process, the new process in turn created a new file in the startup folder: $user\$appdata\Microsoft\Windows\Start Menu\Programs\Startup\cmd.url. This contained the path to the ransomware file: URL=file:///$user\$appdata\cmd.exe.
Russian-speaking groups typically operate outside of Russia, but Key Group is an exception to this rule. Their operations are not very professional, as well as SEXi’s, and show a lack of comprehensive skills. For example, the main C2 channel is a GitHub repository, which makes them easier to track, and communication is maintained over Telegram rather than a dedicated server on the TOR network.

Mallox

Mallox is another relatively new ransomware variant that first came to light in 2021 and kicked off an affiliate program in 2022. The way the authors obtained the source code is unclear — they could have written it from scratch, used a published or a leaked one, or purchased it, as they claim. Since Mallox is a lesser-known and hence, also less-documented, ransomware variant compared to the likes of Lockbit and Conti, we decided to cover Mallox in this post.

Although starting as a private group conducting their own campaigns, Mallox launched an affiliate program shortly after inception. Interestingly, the group only wants to do business with Russian-speaking affiliates and not with English-speaking ones, they do not welcome novices as well. They are also very explicit about what types of organizations affiliates should infect: no less than $10 million in revenue and no hospitals or educational institutions.

Mallox uses affiliate IDs, making it possible to track affiliate activity over the course of time. In 2023, there were 16 active partners, which explains the spike in activity, most notably in the spring and autumn of 2023 as evidenced by the PE timestamp.

Number of discovered Mallox samples by PE timestamp (download)

In 2024, only eight of the original affiliates were still active, with no newcomers. Aside from this, Mallox has all the typical Big Game Hunting attributes that other groups also have, such as a leak site, a server hosted on TOR, and others.

Conclusion

Getting into the ransomware business has never been too difficult. Of-the-shelf solutions have been available, or else one could become an affiliate and outsource many tasks to others. Initially, with tools like Hidden Tear, the impact was relatively low: the tools were easy to detect and contained implementation errors, which helped decryption. They targeted regular consumers rather than large organizations. This has changed these days, as the impact can be much bigger with the advent of the Big Game Hunting era and the release of “professional” ransomware variants, which can affect entire companies, organizations, hospitals and so on. Such samples are more efficient in terms of speed, configurability, command line options, platform support and other features. That said, while getting your hands on a “professional” ransomware variant might be easy, the whole process of exploiting and exploring an organization can be quite time consuming, if not impractical, for newbies.

We also see that groups using leaked variants seldom look professional, with Key Group and SEXi among the examples of this. The reason why they are effective is either that they are able to set up a successful affiliate scheme (Key Group), or that they have found a niche where they can deploy their ransomware effectively (SEXi). In these two scenarios, the leaking or publication of ransomware variants can be considered a threat to organizations and individuals.

If you would like to stay up to date on the latest TTPs being used by criminals, or if you have questions about our private reports, contact us at crimewareintel@kaspersky.com.

Indicators of compromise

SEXi
4e39dcfb9913e475f04927e71f38733a
0a16620d09470573eeca244aa852bf70

Key Group
bc9b44d8e5eb1543a26c16c2d45f8ab7
acea7e35f8878aea046a7eb35d0b8330

Mallox
00dbdf13a6aa5b018c565f4d9dec3108
01d8365e026ac0c2b3b64be8da5798f2

securelist.com/sexi-key-group-…

Photons are particles of light, or waves, or something like that, right? [Mithuna Yoganathan] explains this conundrum in more detail than you probably got in your high school physics class.

While quantum physics has been around for over a century, it can still be a bit tricky to wrap one’s head around since some of the behaviors of energy and matter at such a small scale aren’t what we’d expect based on our day-to-day experiences. In classical optics, for instance, a brighter light has more energy, and a greater amplitude of its electromagnetic wave. But, when it comes to ejecting an electron from a material via the photoelectric effect, if your wavelength of light is above a certain threshold (bigger wavelengths are less energetic), then nothing happens no matter how bright the light is.

Scientists pondered this for some time until the early 20th Century when Max Planck and Albert Einstein theorized that electromagnetic waves could only release energy in packets of energy, or photons. These quanta can be approximated as particles, but as [Yoganathan] explains, that’s not exactly what’s happening. Despite taking a few classes in quantum mechanics, I still learned something from this video myself. I definitely appreciate her including a failed experiment as anyone who has worked in a lab knows happens all the time. Science is never as tidy as it’s portrayed on TV.

If you want to do some quantum mechanics experiments at home (hopefully with more luck than [Yoganathan]), then how about trying to measure Planck’s Constant with a multimeter or LEGO? If you’re wondering how you might better explain electromagnetism to others, maybe this museum exhibit will be inspiring.

youtube.com/embed/Z8Fo2xZjpiE?…

Standardization might sound boring, but it’s really a great underlying strength of modern society. Everyone agreeing on a way that a certain task should be done saves a lot of time, energy, and money. But it does take a certain amount of consensus-building, and at the time [JC]’s HVAC system was built the manufacturers still hadn’t agreed on a standard control scheme for these machines yet. But with a little ingenuity and an Arduino, the old HVAC system can be given a bit of automatic control.

The original plan for this antiquated system, once off-the-shelf solutions were found to be incompatible, was to build an interface for the remote control. But this was going to be overly invasive and complex. Although the unit doesn’t have a standard remote control system, it does have extensive documentation so [JC] was able to build a relay module for it fairly easily with an Arduino Nano Matter to control everything and provide WiFi functionality. It also reports the current status of the unit and interfaces with the home automation system.

While some sleuthing was still needed to trace down some of the circuitry of the board to make sure everything was wired up properly, this was a much more effective and straightforward (not to mention inexpensive) way of bringing his aging HVAC system into the modern connected world even through its non-standardized protocols. And, although agreeing on standards can sometimes be difficult, they can also be powerful tools once we all agree on them.

Many makers start by building mock-ups from cardboard, but [Alex-08] has managed to build an R/C plane that actually flies, out of cardboard.

If you’ve been thinking of building an R/C plane from scratch yourself, this guide is an excellent place to start. [Alex-08] goes through excruciating detail on how he designed and constructed this marvel. The section on building the wings is particularly detailed since that’s the most crucial element in making sure this plane can get airborne.

Some off-the-shelf R/C parts and 3D printed components round out the parts list to complement the large cardboard box used for most of the structural components. The build instructions even go through some tips on getting that vintage aircraft feel and how to adjust everything for a smooth flight.

Need a wind tunnel instead? You can build that out of cardboard too. If paper airplanes are more your thing, how about launching them from space? And if you’re just trying to get a head start on Halloween, why not laser cut an airplane costume from cardboard?

[Aaron Lager]’s Pi-O-Scope-Pong project takes a minimal approach to Pong by drawing on an oscilloscope to generate crisp paddles and ball. A Raspberry Pi takes care of the grunt work of signal generation, and even uses the two joysticks of an Xbox controller (connected to the Pi over Bluetooth) for inputs.

Originally, [Aaron] attempted to generate the necessary signals directly from the Pi’s PWM outputs by doing a little bit of RC filtering on the outputs, but was repulsed by the smeary results. The solution? An old but perfectly serviceable 8-bit MAX506 DAC now handles crisping up the visuals with high-quality analog outputs. Code is available on the project’s GitHub repository.

There isn’t any score-keeping or sound, but one thing that it has over the original Pong is a round ball. The ball in the original Pong game was square, but mainly because cost was a concern during design and generating a round ball would have ballooned the part count.

In many ways, Pong itself is a great inspiration for the Tiny Games Challenge, because the simplicity of its gameplay was likely a big part of its success.

youtube.com/embed/WMYsr0fLufo?…

Pity the video team at a large hacker camp, because they have a huge pile of interesting talks in the can but only the limited resources of volunteers to put them online. Thus we often see talks appearing from past camps, and such it is with one from Electromagnetic Field 2022. It’s from [Sarah Angliss], and as its subject it takes the extraordinary work of [Muriel Howorth], a mid-20th-century British proponent of irradiated seeds as a means to solve world hunger.

Today we are used to genetic modification in the context of plants, and while it remains a controversial subject, the science behind it is well known. In the period following the Second World War there was a different approach to improving crops by modifying their genetics: irradiating seeds in a scattergun approach to genetic modification, in the hope that among thousands of duds there might be a mutant with special properties.

To this came Muriel Howorth, at first charged with telling the story of atomic research for the general public. She took irradiated seeds from Oak Ridge in the USA, and turned them into a citizen science program, with an atomic gardening society who would test these seeds and hopefully, find the supercrops within. It’s a wonderfully eccentric tale that might otherwise be the plot of a Wallace and Gromit movie, and but for a few interested historians of popular science it might otherwise have slipped into obscurity. We’re sorry we didn’t catch this one live back when we attended the event.

media.ccc.de/v/emf2022-353-the…

In the previous article we looked at designing a lock-free ring buffer (LFRB) in Ada, contrasting and comparing it with the C++-based version which it is based on, and highlighting the Ada way of doing things. In this article we’ll cover implementing the LFRB, including the data request task that the LFRB will be using to fill the buffer with. Accompanying the LFRB is a test driver, which will allow us to not only demonstrate the usage of the LFRB, but also to verify the correctness of the code.

This test driver is uncomplicated: in the main task it sets up the LFRB with a 20 byte buffer, after which it begins to read 8 byte sections. This will trigger the LFRB to begin requesting data from the data request task, with this data request task setting an end-of-file (EoF) state after writing 100 bytes. The main task will keep reading 8-byte chunks until the LFRB is empty. It will also compare the read byte values with the expected value, being the value range of 0 to 99.

Test Driver

The Ada version of the test driver for the LFRB can be found in the same GitHub project as the C++ version. The file is called test_databuffer.adb and can be found in the ada/reference/ folder. The Makefile to build the reference project is found in the /ada folder, which requires an Ada toolchain to be installed as well as Make. For details on this aspect, see the first article in this series. When running make in the folder, the build files are placed under obj/ and the resulting binary under bin/.

The LFRB package is called LFRingDataBuffer, which we include along with the dataRequest package that contains the data request task. Obviously, since typing out LFRingDataBuffer over and over would be tiresome, we rename the package:
with LFRingDataBuffer;
with dataRequest; use dataRequest;

procedure test_databuffer is
package DB renames LFRingDataBuffer;
[..]
After this we can initialize the LFRB:
initret : Boolean;
[..]
initret := DB.init(20);
if initret = False then
put_line("DB Init failed.");
return;
end if;
Before we start reading from the LFRB, we create the data request task:
drq : DB.drq_access;
[..]
drq := new dataRequestTask;
DB.setDataRequestTask(drq);
This creates a reference to a dataRequestTask instance, which is found in the dataRequest package. We pass this reference to the LFRB so that it can call entries on it, as we will see in a moment.

After this we can start reading data from the LFRB in a while loop:
bytes : DB.buff_array (0..7);
read : Unsigned_32;
emptied : Boolean;
[..]
emptied := False;
while emptied = False loop
read := DB.read(8, bytes);
[..]
if DB.isEoF then
emptied := DB.isEmpty;
end if;
end loop;
As we know what the value of each byte we read has to be, we can validate it and also print it out to give the user something to look at:
idx : Unsigned_32 := 0;
[..]
idx := 0;
for i in 0 .. Integer(read - 1) loop
put(Unsigned_8'Image(bytes(idx)) & " ");
if expected /= bytes(idx) then
aborted := True;
end if;

idx:= idx + 1;
expected := expected + 1;
end loop;
Of note here is that put() from the Ada.Text_IO package is similar to the put_line() procedure except that it doesn’t add a newline. We also see here how to get the string representation of an integer variable, using the 'Image attribute. For Ada 2012 we can use it in this fashion, though since 2016 and in Ada 2022 we can also use it directly on a variable, e.g.:
put(bytes(idx)'Image & " ");
Finally, we end the loop by checking both whether EoF is set and whether the buffer is empty:
if DB.isEoF then
emptied := DB.isEmpty;
end if;
With the test driver in place, we can finally look at the LFRB implementation.

Initialization

Moving on to the LFRB’s implementation file (lfringdatabuffer.adb), we can in the init procedure see a number of items which we covered in the previous article already, specifically the buffer type and its allocation, as well as the unchecked deallocation procedure. All of the relevant variables are set to their appropriate value, which is zero except for the number of free bytes (since the buffer is empty) and the last index (capacity – 1).

Flags like EoF (False) are also set to their starting value. If we call init with an existing buffer we first delete it before creating a new one with the requested capacity.

Reading

Simplified layout of a ring buffer.
Moving our attention to the read function, we know that the buffer is still empty, so nothing can be read from the buffer. This means that the first thing we have to do is request more data to fill the buffer with. This is the first check in the read function:
if eof = false and len > unread then
put_line("Requesting data...");
requestData;
end if;
Here len is the requested number of bytes that we intend to read, with unread being the number of unread bytes in the buffer. Since len will always be more than zero (unless you are trying to read zero bytes, of course…), this means that we will call the requestData procedure. Since it has no parameters we omit the parentheses.

This procedure calls an entry on the data request task before waiting for data to arrive:
dataRequestPending := True;
readT.fetch;

while dataRequestPending = True loop
delay 0.1; -- delay 100 ms.
end loop;
We set the atomic variable dataRequestPending which will be toggled upon a write action, before calling the fetch entry on the data request task reference which got passed in from the test driver earlier. After this we loop with a 100 ms wait until the data has arrived. Depending on the context, having a time-out here might be desirable.

We can now finally look at the data request task. This is found in the reference folder, with the specification ([url=https://github.com/MayaPosch/LockFreeRingBuffer/blob/master/ada/reference/dataRequest.ads]dataRequest.ads[/url]) giving a good idea of what the Ada rendezvous synchronization mechanism looks like:
package dataRequest is
task type dataRequestTask is
entry fetch;
end dataRequestTask;
end dataRequest;
Unlike an Ada task, which is auto-started with the master task to which the subtask belongs, a task type can be instantiated and started at will. To communicate with the task we use the rendezvous mechanism, which presents an interface (entries) to other tasks that are effectively like procedures, including the passing of parameters. Here we have defined just one entry called fetch, for hopefully obvious reasons.

The task body is found in [url=https://github.com/MayaPosch/LockFreeRingBuffer/blob/master/ada/reference/dataRequest.adb]dataRequest.adb[/url], which demonstrates the rendezvous select loop:
task body dataRequestTask is
[..]
begin
loop
select
accept fetch do
[..]
end fetch;
or
terminate;
end select;
end loop;
end dataRequestTask;
To make sure that the task doesn’t just exit after handling one call, we use a loop around the select block. By using or we can handle more than one call, with each entry handler (accept) getting its own section so that we can theoretically handle an infinite number of entries with one task. Since we only have one entry this may seem redundant, but to make sure that the task does exit when the application terminates we add an or block with the terminate keyword.

With this structure in place we got a basic rendezvous-enabled task that can handle fetch calls from the LFRB and write into the buffer. Summarized this looks like the following:
data : DB.buff_array (0..9);
wrote : Unsigned_32;
[..]
wrote := DB.write(data);
put_line("Wrote " & Unsigned_32'Image(wrote) & HT & "- ");
Here we can also see the way that special ASCII characters are handled in Ada’s Text_IO procedures, using the [url=https://en.wikibooks.org/wiki/Ada_Programming/Libraries/Ada.Characters.Latin_1?useskin=vector]Ada.Characters.Latin_1[/url] package. In this case we concatenate the horizontal tab (HT) character.

Skipping ahead a bit to where the data is now written into the LFRB’s buffer, we can read it by first checking how many bytes can be read until the end of the buffer (comparing the read index with the buffer end index). This can result in a number of of outcomes: either we can read everything in one go, or we may need to read part from the front of the buffer, or we have fewer bytes left unread than requested. These states should be fairly obvious so I won’t cover them here in detail, but feel free to put in a request.

To take the basic example of reading all of the requested bytes in a single chunk, we have to read the relevant indices of the buffer into the bytes array that was passed as a bidirectional parameter to the read function:
function read(len: Unsigned_32; bytes: in out buff_array) return Unsigned_32 is
This is done with a single copy action and an array slice on the (dereferenced) buffer array:
readback := (read_index + len) - 1;
bytes := buffer.all(read_index .. readback);
We’re copying into the entire range of the target array, so no slice is necessary here. On the buffer array, we start at the first unread byte (read_index), with that index plus the number of bytes we intend to read as the last byte. Minus one due to us starting the array with zero instead of 1. This would be a handy optimization, but since we’re a stickler for tradition, this is what we have to live with.

Writing

Writing into the buffer is easier than reading, as we only have to concern ourselves with the data that is in the buffer. Even so it is quite similar, just with a focus on free bytes rather than unread ones. Hence we start with looking at how many bytes we can write:
locfree : Unsigned_32;
bytesSingleWrite: Unsigned_32;
[..]
locfree := free;
bytesSingleWrite := free;
if (buff_last - data_back) < bytesSingleWrite then
bytesSingleWrite := buff_last - data_back + 1;
end if;
We then have to test for the different scenarios, same as with reading. For example with a straight write:
if data'Length <= bytesSingleWrite then
writeback := (data_back + data'Length) - 1;
buffer.all(data_back .. writeback) := data;
elsif
[..]
end if;
Of note here is that we can obtain the size of a regular array with the 'Length attribute. Since we can write the whole chunk in one go, we set the slice on the target (the dereferenced buffer) from the write index (data_back) to (and including) the size of the data we’re writing (minus one, because tradition). If we have to do partial copying of the data we need to use array slices here as well, but here it is only needed on the buffer.

Finally, we have two more items to take care of in the write function. The first is letting the data request procedure know that data has arrived by setting dataRequestPending to false. The other is to check whether we can request more data if there is space in the buffer:
if eof = true then
null;
elsif free > 204799 then
readT.fetch;
end if;
There are a few notable things in this code. The first is that Ada does not allow you to have empty blocks, but requires you to mark those with null. The other is that magic numbers can be problematic. Originally the fixed data request block size in NymphCast was 200 kB before it became configurable. If we were to change the magic number here to e.g. 10 (bytes), we’d call the fetch entry on the data request task again on the first read request, getting us a full buffer.

EoF

With all of the preceding, we now have a functioning, lock-free ring buffer in Ada. Obviously we have only touched on the core parts of what makes it tick, and skimmed over the variables involved in keeping track of where what is going and where it should not be, not to mention how much. Much of this should be easily pieced together from the linked source files, but can be expanded upon, if desired.

Although we have a basic LFRB now, the observing among us may have noticed that most of the functions and procedures in the Ada version of the LFRB as located on GitHub are currently stubs, and that the C++ version does a lot more. Much of this functionality involves seeking in the buffer and a number of other tasks that make a lot of sense when combined with a media player like in NymphCast. These features will continue to be added over time as the LFRB project finds more use, but probably aren’t very interesting to cover.

Feel free to sound off in the comments on what more you may want to see involving the LFRB.

[mitxela] has a tiny problem, literally: some of his projects are so small as to defy easy programming. While most of us would probably solve the problem of having no physical space on a board to mount a connector with WiFi or Bluetooth, he took a different path and gave this clever light-based programming interface a go.

Part of the impetus for this approach comes from some of the LED-centric projects [mitxela] has tackled lately, particularly wearables such as his LED matrix earrings or these blinky industrial piercings. Since LEDs can serve as light sensors, albeit imperfect ones, he explored exactly how to make the scheme work.

For initial experiments he wisely chose his larger but still diminutive LED matrix badge, which sports a CH32V003 microcontroller, an 8×8 array of SMD LEDs, and not much else. The video below is a brief summary of the effort, while the link above provides a much more detailed account of the proceedings, which involved a couple of false starts and a lot of prototyping that eventually led to dividing the matrix in two and ganging all the LEDs in each half into separate sensors. This allows [mitxela] to connect each side of the array to the two inputs of an op-amp built into the CH32V003, making a differential sensor that’s less prone to interference from room light. A smartphone app alternately flashes two rectangles on and off with the matrix lying directly on the screen to send data to the badge — at a low bitrate, to be sure, but it’s more than enough to program the badge in a reasonable amount of time.

We find this to be an extremely clever way to leverage what’s already available and make a project even better than it was. Here’s hoping it spurs new and even smaller LED projects in the future.

youtube.com/embed/IHD3ji-F600?…

Il terzo audio della neonata (ed estiva...) serie video di commento "riga per riga" alla Relazione annuale 2023 del Garante per la Protezione dei Dati italiano riguarda il capitolo su GDPR, Codice Privacy, protezione dei dati e sanità.

SI tratta di una parte interessantissima: FSE, dossier sanitario, piattaforma nazionale di telemedicina, cimitero dei feti, ransomware e attacchi alle strutture sanitarie, errori di comunicazione causati da pazienti omonimi, e-mail inviate con tutti gli indirizzi visibili in cc, VPN e doppio fattore di autenticazione, profili di autorizzazione errati, e tanto altro.

zerodays.podbean.com/e/la-rela…

L'audio del video che ho preparato su YouTube per commentare la relazione 2023 del Garante per la Protezione dei Dati Personali italiano.

Per vedere la versione con il documento e le mie evidenziazioni, è opportuno collegarsi al canale YouTube e vedere il video.

Questa è la seconda parte (GDPR e Pubblica Amministrazione)

zerodays.podbean.com/e/la-rela…

L'audio del video che ho preparato su YouTube per commentare la relazione 2023 del Garante per la Protezione dei Dati Personali italiano.

Per vedere la versione con il documento e le mie evidenziazioni, è opportuno collegarsi al canale YouTube e vedere il video.

zerodays.podbean.com/e/la-rela…

Se le Intelligenze Artificiali sono diventate di moda con i Large Language Model come ChatGPT e simili, diverso è per le intelligenze che si cimentano nella risoluzione di problemi matematici dove sino a poco tempo fa non vi erano grandi risultati.

Eppure qualcosa sta cambiando grazie a due nuovi sistemi: AlphaProof e AlphaGeometry 2, i due sistemi, lavorando assieme, sono riusciti a risolvere quattro su sei problemi delle Olimpiadi Internazionali di Matematica.

I due sistemi appartengono a Google DeepMind e hanno così raggiunto un ottimo livello, paragonabile ad una medaglia d’argento.

I sei problemi sono stati tradotti in linguaggio matematico e sottoposti ai due sistemi di Google DeepMind che hanno impiegato circa tre giorni a risolverli.I problemi riguardavano l’algebra, la teoria dei numeri e due problemi di calcolo combinatorio, gli ultimi due rimasti irrisolti dealle AI. Hanno fatto meglio 58 concorrenti umani su 609 partecipanti.

AlphaProof è un sistema autoaddestrato alla verifica di costrutti matematici con l’uso del linguaggio formale Lean, accoppiato con un modello di linguaggio preaddestrato attraverso l’algoritmo AlphaZero autoaddestrato su alcuni giochi come gli scachi, Shogi e Go.

AlphaGeometry 2 invece è un sistema ibrido neuro-simbolico basato su un modello di linguaggio chiamato Gemini.

Lo sviluppo di sistemi di AI come AlphaProof, AlphaGeometry 2 e Gemini si preannuncia molto promettente, vedremo l’anno prossimo cosa accadrà alle Olimpiadi Internazionali di Matematica.

Nel mentre ci resta solo da esprimere un pensiero riguardo l’importanza che avrà in futuro, dal punto di vista geopolitico, avere la primazia nello specifico settore della AI matematica.

Lo stato, o meglio, gli stati contendenti non sono tanti: Stati Uniti e Cina davanti a tutti!

L'articolo L’AI avanza in matematica e ragionamento logico proviene da il blog della sicurezza informatica.

Il fondatore di Telegram , Pavel Durov, ha affermato di avere più di 100 figli biologici e prevede di aprire l’accesso al suo DNA per aiutarli a trovarlo. Durov ha condiviso questa notizia sul suo canale Telegram.

Quindici anni fa, un amico chiese a Durov di donare lo sperma ad una clinica a causa di problemi di concepimento. Secondo Durov, il direttore della clinica ha affermato che mancava “materiale di qualità per i donatori” e ha suggerito di aiutare in modo anonimo più coppie. Questa proposta gli sembrò piuttosto interessante e accettò.
Mi hanno appena detto che ho più di 100 figli biologici. Com'è possibile per un uomo che non è mai stato sposato e preferisce vivere da solo?

Quindici anni fa, un mio amico mi ha avvicinato con una strana richiesta. Mi disse che lui e sua moglie non potevano avere figli a causa di un problema di fertilità e mi chiese di donare lo sperma in una clinica per avere un bambino. Mi sono messo a ridere a crepapelle prima di rendermi conto che era molto serio.

Il capo della clinica mi ha detto che "il materiale dei donatori di alta qualità" scarseggiava e che era mio dovere civico donare più sperma per aiutare anonimamente più coppie. Sembrava abbastanza folle da indurmi a iscrivermi alla donazione di sperma.

Nel 2024, la mia attività di donazione passata ha aiutato più di cento coppie in 12 Paesi ad avere figli. Inoltre, molti anni dopo aver smesso di essere un donatore, almeno una clinica di fecondazione assistita ha ancora il mio sperma congelato disponibile per l'uso anonimo da parte di famiglie che vogliono avere figli.

Ora ho intenzione di rendere disponibile il mio DNA in modo che i miei figli biologici possano trovarsi più facilmente. Naturalmente ci sono dei rischi, ma non mi pento di essere stato un donatore. La carenza di sperma sano è diventata un problema sempre più grave in tutto il mondo, e sono orgoglioso di aver fatto la mia parte per contribuire ad alleviarlo.

Voglio anche contribuire a destigmatizzare l'intero concetto di donazione di sperma e incentivare più uomini sani a farlo, in modo che le famiglie che lottano per avere figli possano avere più opzioni. Sfidare le convenzioni - ridefinire la norma!
Dopo 15 anni si è saputo che il suo materiale donato aveva aiutato più di 100 famiglie in 12 paesi diversi. Lo sperma di Durov è ancora conservato in una delle cliniche IVF di Mosca. Ora Durov intende aprire l’accesso al suo DNA in modo che i suoi figli biologici possano ritrovarsi.

Durov ha sottolineato che non si pente della sua decisione di diventare donatore, nonostante i possibili rischi. Ha sottolineato che il problema della carenza di sperma sano sta diventando sempre più acuto in tutto il mondo ed ha espresso orgoglio per aver contribuito a risolvere questo problema.

Inoltre, il fondatore di Telegram vuole contribuire a ridurre lo stigma associato alla donazione di sperma e incoraggiare gli uomini più sani a diventare donatori, in modo che le famiglie che hanno difficoltà a concepire abbiano più opzioni.

Nel mondo moderno, il tema della riduzione del tasso di natalità e della diffusione dei propri geni è diventato popolare tra le élite. Promettendo di “scoprire il proprio DNA”, Durov offre un nuovo approccio per gli individui facoltosi che desiderano lasciare il segno nel futuro.

Questa notizia, come lo stesso post di Durov, ha suscitato un’ampia risonanza e opinioni diverse, riflettendo il complesso atteggiamento della società nei confronti delle questioni relative alla donazione e ai valori della famiglia.

L'articolo L’Incredibile Storia del fondatore di Telegram: Oltre 100 Figli e una Iniziativa per il Suo DNA proviene da il blog della sicurezza informatica.

A seguito dell’assassinio del capo politico di Hamas Ismail Haniyeh (rieletto nel 2021) nella capitale iraniana Teheran, è stato convocato ieri il Consiglio di Sicurezza: tra i membri si teme una seria e pericolosa escalation e non si è potuto che evidenziare la grave cirisi in atto, gli attacchi nel Golan occupato da Isreale, gli intensi scambi attravrso la Linea Blu che separa le forze armate di Libano e Isarele, lo sfollamento del 90% della popolazione dalla Striscia di Gaza e l’uccisione di 39.400 vittime, 91.000 feriti a Gaza dall’ottobre 2023, compresi la morte di civili israeliani e gli ostaggi israeliani, uccisi o morti sotto i bombardamenti, a cui si aggiungono le vittime delle regioni interessate sotto l’attacco mortale di droni armati, missili, “atroci crimini di guerra ed enormi violazioni dei diritti umani”.

L’appello è quello di una risoluzione diplomatica rapida ed efficace ma la riacutizzazione delle ostilità è evidente. Il momento è “estremamente delicato” ha ribadito il Segretario generale delle Nazioni Unite António Guterres, “la moderazione da sola non è sufficiente”. Nel frattempo gli Stati Uniti ribadiscono il sostegno ad Israele ma affermano di non volere in alcun modo un’escalation. Per quanto riguarda l’Iran probabilmente “ritiene di non avere altra scelta se non quella di rispondere per scoraggiare ulteriori attacchi israeliani, proteggere la propria sovranità e mantenere la propria credibilità presso i partner regionali”, ha affermato Ali Vaez, direttore iraniano dell’International Crisis Group secondo Israel Hayom.

Ismail Haniyeh: la teoria del rintracciamento tramite Whatssap regge poco

“È interessante notare” evidenzia intelligentemente la Duhaime “che i riciclatori di denaro e la criminalità organizzata sanno di essere geolocalizzati se usano WhatsApp ma non Hamas”. _ Christine Duhaimem, Fusion Intelligence

Iniziano a correre le voci sull’assasinio di Ismail Haniyeh nel territorio iraniano e una tra queste è quella del giornalista libanese Elijah J. Magnier che evidenzia l’alto livello di intelligence e di successo operativo nell’uccisione non solo del leader politico di Hamas nel cuore di Teheran, ma anche quella di Hajj Mohsen-Fouad Shukr – assistente del capo del Consiglio della Jihad di Hezbollah Sayyed Hassan Nasrallah – ucciso al settimo piano della casa che occupava.

Noi non siamo assolutamente a conoscenza di come Haniyeh sia stato intercettato ci limitiamo in questo capitolo a presentare la teoria del rintracciamento dell’uomo tramite l’applicazione di messaggistica whatsapp, teoria apparsa su Reddit e X che sembra al momento fare parte di una “teoria del complotto” per prendere di mira Israele e di conseguenza il co-fondatore di Whatssap, Yan Borysovych Koum che però ha lasciato – annunciandolo – la compagnia nel 2018.

Secondo una fonte citata da Magnier, Israele avrebbe piazzato un sofisticato spyware – simile a Pegasus della NSO – tramite un messaggio WhatsApp inviato ad Ismail Haniyeh: questo avrebbe permesso di localizzare la sua posizione esatta all’interno del suo appartamento in seguito ad una conversazione avuta con suo figlio. L’utilizzo di questi software, secondo Magnier, sottolineerebbero non solo ancora una volta l’utilizzo di tattiche di guerra informatica nelle operazioni di intelligence, per la raccolta di informazioni, le uccisioni mirate e l’esecuzione di attacchi strategici ma notevoli preoccupazioni sulla privacy e l’uso improprio di questi software sbarcati anche sul mercato nero.

Il precedente, ha sottolineato Christine Duhaime di Fusion Intelligence, c’è, Si tratta di una tecnologia venuta alla luce la prima volta a Vancouver (Canada) nel 2017, quando la Cina stava cercando dei criminali fuggiti dal paese con centinaia di milioni di dollari, “È interessante notare” evidenzia intelligentemente la Duhaime “che i riciclatori di denaro e la criminalità organizzata sanno di essere geolocalizzati se usano WhatsApp ma non Hamas”. Questo ci dovrebbe far capire che la teoria whatsapp non regge moltissimo, soprattutto se esternata prima che le indagini ufficiali vengano compiute. Le informazioni vanno controllate e verificate.

Dall’altra parte però indagine di Forbes (2022) viene evidenziato invece come le agenzie federali statunitensi utilizzino “una legge americana sulla sorveglianza vecchia di 35 anni per tracciare segretamente gli utenti di WhatsApp senza alcuna spiegazione del perché e senza sapere chi stanno prendendo di mira”. Nel gennaio del 2022 in Ohio, è emerso che nel novembre del 2021 gli investigatori della DEA avevano chiesto alla società di messaggistica di proprietà di Facebook di tracciare sette utenti con sede in Cina e Macao, monitorando i loro indirizzi IP ei numeri con cui comunicavano.

Consiglio di Sicurezza, Iran: l’omicidio è un atto di terrore

Nelle prime ore di mercoledì 31 luglio, Hamas Ismail Haniyeh e le sue guardie di sicurezza sono stati uccisi a Teheran, Iran, dove si trovavano per partecipare alla cerimonia di insediamento del nuovo presidente iraniano Masoud Pezeshkian. Un razzo li ha colpiti in modo diretto: i media statali iraniani IRNA, hanno avvisato che un “proiettile guidato aviotrasportato” aveva preso di mira l’edificio alle due di notte. Il gruppo palestinese Hamas ha emesso immediatamente una dichiarazione di cordoglio, “A Dio apparteniamo e a Lui ritorneremo. Ed è una lotta, una vittoria o un martirio”, accusando Israele. Tuttavia Israele non ha ancora confermato né smentito il suo coinvolgimento. L’ambasciatore degli Stati Uniti, Robert Wood e il vice rappresentante, hanno sottolineato il diritto di autodifesa di Israele, affermando che non è in alcun modo coinvolto negli attacchi al Libano o “nell’apparente” morte del leader di Hamas Ismail Haniyeh. Che fosse un target – insieme a Mohammed Deif (comandante dell’ala militare di Hamas, Brigate Izz el-Deen al-Qassam la cui morte è stata annunciata oggi), Marwan Issa, Yahya Sinwar o Khaled Meshaal – però è risaputo e secondo il canale televisivo France 24 Inoltre Haniyeh figurava dal 2018 nella lista americana dei terroristi globali appositamente designati (SDGT).

Questo è e rimane un evento significativo del conflitto attuale in Medio Oriente che ha portato ripercussioni su tutta la regione e su Teheran che innalzato la bandiera rossa: non a caso ieri la missione dell’Iran alle Nazioni Unite ha sollecitato l’urgente riunione del Consiglio di Sicurezza per “condannare in modo inequivocabile e forte gli atti di aggressione e gli attacchi terroristici da parte del regime israeliano alla sovranità e all’integrità territoriale dell’Iran”.

Nella lettera che chiedeva l’urgente convocazione l’Iran ha precisato: “Questo atto” non sarebbe potuto avvenire senza l’autorizzazione e il supporto dell’intelligence degli Stati Uniti”, come alleato strategico e sottolineava l’attacco all’integrità del territorio iraniano., chiedendo al consiglio di punire questo atto con sanzioni per punire le ennesime violazioni del diritto internazionale. Parole che al Conisglio di Sicurezza sono state interpretate come ipocrite dall’ambasciatore israeliano Brett Jonathan Miller, poiché l’incontro è stato chiamato dallo “sponsor numero uno al mondo del terrorismo”.

Morte sembra richiamare morte all’infinito. Questa volta l’unione delle forze della regione sembra compatta. Iran, Iraq, Siria, Libano e Palestina hanno condannato l’assassinio di Ismail Haniyeh. Per quanto riguarda il grave crimine commesso nel Golan dove sono morti 12 bambini innocenti, l’ambasciatore siriano Koussay Aldahhak ha affermato che l’entità occupante israeliana “ha commesso un grave crimine” a Majdal Shams sulle alture di Golan occupate da Israele, che “è ed è sempre stato” territorio siriano sottolineando che una potenza occupante “non può affermare di difendersi ai sensi dell’articolo 51 della Carta delle Nazioni Unite”. L’ambasciatore del Libano, Hadi Hachem, invece ha affermato di non volere la guerra ma la fine dell’occupazione israeliana delle terre arabe è essenziale per ritornare alla stabilità. “La storia non risparmierà nessuno; ciò che inizia in Medio Oriente si diffonderà in tutto il mondo”, ha avvertito, invitando il Consiglio a prendere posizione “prima che sia troppo tardi”.

Se l’Asse non risponde – scrive oggi il giornalista libanese Elijah J. Magnier – è probabile che Israele aumenti i suoi attacchi e i suoi omicidi, ignorando tutte le linee rosse. Gli Stati Uniti puntano al cessate il fuoco per prevenire una guerra regionale più ampia.

L'articolo L’uccisione di Ismail Haniyeh: le conseguenze e le teorie di tracciamento che non reggono proviene da il blog della sicurezza informatica.

Il 14 aprile 2024, un attore di minacce noto con il nickname jacka113 ha rilasciato un database che sosteneva appartenere al sito Multiplayer.it.

Da quanto riportato dal criminale informatico, la violazione aveva compromesso i dati di 509.000 utenti, sollevando preoccupazioni significative sulla sicurezza informatica e sulla protezione dei dati personali.

Oggi il servizio “Have i been pwned” riporta l’addizione del breach di multiplayer.it all’interno del suo database dove riporta che le informazioni compromesse sono email, indirizzo e password.

I presunti dati compromessi

Secondo quanto riportato da jacka113 sul forum BreachForums, i dati compromessi includono:

• ID
• Nome utente
• Indirizzo email
• Hash delle password
• Salt utilizzato per l’hashing delle password

La Prova della presunta Violazione

Nel post del forum, jacka113 ha fornito un campione dei dati compromessi per dimostrare la veridicità delle sue affermazioni.

Implicazioni per la Sicurezza

Se confermata, questa violazione rappresenterebbe una grave minaccia per la sicurezza dei dati personali degli utenti di Multiplayer.it. Gli utenti interessati potrebbero essere esposti a una serie di rischi, tra cui:

• Phishing: Gli attaccanti potrebbero utilizzare gli indirizzi email compromessi per inviare email fraudolente, ingannando gli utenti affinché forniscano ulteriori informazioni personali o finanziarie.
• Accesso non autorizzato: Gli hash delle password, se decifrati, potrebbero consentire agli attaccanti di accedere agli account degli utenti su Multiplayer.it e su altri siti web dove potrebbero aver riutilizzato le stesse credenziali.
• Furto d’identità: Le informazioni personali compromesse potrebbero essere utilizzate per attività di furto d’identità, causando danni finanziari e reputazionali agli utenti colpiti.

Raccomandazioni per gli Utenti

In attesa di una conferma ufficiale da parte di Multiplayer.it, è consigliabile che gli utenti adottino misure preventive per proteggere i propri dati:

1. Cambiamento delle Password: Gli utenti dovrebbero cambiare immediatamente le loro password su Multiplayer.it e su qualsiasi altro sito web dove potrebbero aver utilizzato le stesse credenziali.
2. Monitoraggio degli Account: È importante monitorare attentamente gli account bancari e di posta elettronica per individuare eventuali attività sospette.
3. Abilitazione dell’Autenticazione a Due Fattori (2FA): L’abilitazione della 2FA aggiunge un ulteriore livello di sicurezza agli account online, rendendo più difficile per gli attaccanti accedere senza autorizzazione.

Conclusione

La presunta violazione del database di Multiplayer.it da parte di jacka113 rappresenta una potenziale minaccia significativa per la sicurezza dei dati di 509.000 utenti. Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Multiplayer.it finisce su Have i Been Pwned proviene da il blog della sicurezza informatica.

Una vulnerabilità in VMware ESXi permetterebbe ad attori malintenzionati di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.

Panoramica della vulnerabilità

VMWare ha predisposto delle azioni di mitigazione atte a contrastare la vulnerabilità identificata con CVE-2024-37085 avente CVSS3 pari a 6.8 che permetterebbe agli attaccanti di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.

Dalle informazioni di threath intelligence tale vulnerabilità è attivamente sfruttata in rete ed è stata utilizzata da APT come Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest per installare software dannoso sui sistemi vulnerabili.

Lo sfruttamento di tale vulnerabilità risulta semplice e impattante, basterebbe infatti la creazione di un nuovo gruppo di dominio chiamato “ESX Admins” e la creazione di un qualsiasi utente facente parte del medesimo dominio per conferire i privilegi di amministratore dell’hypervisor.

Tipologia

• Data Manipulation
• Denial of Service
• Security Restrictions Bypass
• Authentication Bypass

Prodotti e versioni affette

• Esxi 8.0 precedente alla versione 8.0 U3
• Esxi 7.0 Tutte le versioni

CVE di riferimento:

• CVE-2024-37085

Patch & Mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza.

Si riportano di seguito le versioni vulnerabili e relativa Fix release

Come dalla matrice cui sopra , attualmente, per la versione 7.0.x di ESXi non è stata ancora pianificata una patch ma è disponibile un workaround .

Considerazioni

Questo tipo di vulnerabilità ci rendono consapevoli dell’importanza del processo di patch management sui sistemi in quanto anche un solo sistema, facente parte di un ecosistema di servizi, potrebbe essere sfruttato e compromettere l’intera infrastruttura. Pertanto mantenere i sistemi aggiornati aiuta sensibilmente a ridurre la superficie d’attacco.

L'articolo Un Bug di VMware ESXi è Sfruttato attivamente da Attori Malevoli proviene da il blog della sicurezza informatica.

Gli specialisti di Zimperium hanno scoperto una campagna dannosa che prende di mira i dispositivi Android in tutto il mondo. Gli aggressori utilizzano migliaia di bot di Telegram per infettare i dispositivi con malware che rubano SMS e password monouso per l’autenticazione a due fattori da oltre 600 servizi.

I ricercatori affermano che stanno monitorando questa attività fino a febbraio 2022. Secondo loro, a questa campagna sarebbero associati almeno 107.000 diversi campioni di malware. La maggior parte delle vittime si trova in India e Russia, ma molte vittime sono state trovate anche in Brasile, Messico e Stati Uniti. In totale, gli utenti di 113 paesi in tutto il mondo sono stati colpiti da questa minaccia.

A quanto pare, gli operatori di malware perseguono guadagni finanziari e utilizzano i dispositivi infetti come relè per l’autenticazione e l’anonimizzazione. Il malware per il furto di SMS viene distribuito tramite pubblicità dannosa o tramite bot di Telegram che automatizzano la comunicazione con l’utente.

Quindi, nel primo caso, le vittime seguono link pubblicitari a pagine che imitano il Google Play Store, dove vedono un numero gonfiato di download dell’applicazione, il che dovrebbe creare l’apparenza della sua legittimità e sicurezza.

Nel secondo caso, i bot di Telegram promettono di fornire alle vittime un’app Android piratata, ma chiedono il loro numero di telefono prima di condividere il file APK. Di conseguenza, il bot utilizza il numero ricevuto per creare un nuovo APK, che gli consente di tracciare personalmente l’utente ed effettuare altri attacchi.

Sul dispositivo della vittima, il malware richiede l’autorizzazione per accedere agli SMS, che gli consentono di intercettare le password monouso necessarie per la registrazione dell’account e l’autenticazione a due fattori.

In totale vengono utilizzati circa 2.600 bot di Telegram per promuovere diversi APK, controllati da 13 server di controllo.

I ricercatori hanno scoperto che il malware finisce per trasmettere i messaggi SMS intercettati a uno specifico endpoint API sul sito web fastsms[.]su.

Questo sito offre ai visitatori la possibilità di acquistare l’accesso a numeri di telefono virtuali in paesi stranieri. Tali numeri possono essere utilizzati per l’anonimizzazione e l’autenticazione su varie piattaforme e servizi online. Di conseguenza Zimperium è giunto alla conclusione che i dispositivi infetti vengono utilizzati da questo servizio all’insaputa dei loro proprietari.

L'articolo MFA in Pericolo! Migliaia di Bot Telegram rubano password monouso da 600 servizi proviene da il blog della sicurezza informatica.

I ricercatori hanno scoperto una tendenza allarmante: le app mobili create per i Giochi Olimpici di Parigi del 2024 raccolgono molte più informazioni personali degli utenti di quanto dichiarato ufficialmente. Gli esperti hanno studiato attentamente 12 applicazioni Android che sono popolari tra gli ospiti olimpici e hanno identificato una serie di fatti allarmanti.

L’app ufficiale dei Giochi Olimpici di Parigi, già installata più di 10 milioni di volte, si posiziona come uno strumento indispensabile per gli appassionati. Fornisce il calendario delle gare, le ultime notizie, i risultati delle medaglie e molte altre informazioni utili.

Ma c’è una sfumatura. Il programma tiene traccia della posizione esatta dell’utente, utilizza la fotocamera, registra l’audio, legge e modifica i file multimediali sul dispositivo. Inoltre, è in grado di analizzare la cronologia delle ricerche web e di trasmettere queste informazioni agli inserzionisti.

Il Comitato Olimpico Internazionale (CIO) ammette apertamente di raccogliere dati personali per creare profili utente. Queste informazioni vengono poi condivise con colossi come Facebook, Google, Apple e X (ex Twitter).

Tuttavia, l’app ufficiale delle Olimpiadi non è l’unica a destare preoccupazioni. Bonjour RATP, un’app di navigazione parigina con oltre 10 milioni di installazioni, era la più affamata di dati. Raccoglie 18 dei 38 possibili tipi di informazioni e ne condivide la maggior parte con terze parti.

TheFork, la piattaforma di prenotazione di ristoranti leader in Europa, raccoglie 15 tipi di dati. Citymapper, altra app di trasporti urbani da più di 10 milioni di download – 14 tipologie (anche se in questo caso tra le finalità dichiarate non viene menzionata la pubblicità).

Secondo gli esperti di Cybernews, alcuni servizi richiedono autorizzazioni potenzialmente pericolose, anche se affermano di non raccogliere alcun dato. Ad esempio, Stakeholder Experience & Access Tool (SEAT) richiede l’autorizzazione per leggere e scrivere su dispositivi di archiviazione esterni, lavorare con contatti e calendario. Anche PinQuest, un gioco per testare la conoscenza delle Olimpiadi, per qualche motivo richiede l’accesso alla fotocamera e ai file.

I ricercatori avvertono che se tutte le 12 app analizzate fossero installate, sarebbero in grado di ottenere 24 tipi di dati su 38 possibili. Secondo gli sviluppatori, i programmi non raccolgono informazioni su salute, razza ed etnia, convinzioni politiche o religiose, orientamento sessuale, SMS, foto o registrazioni audio, file, contatti e altre categorie simili.

Tuttavia, la realtà risulta essere diversa. I ricercatori hanno trovato altre tre app che richiedono il permesso per determinare la latitudine e la longitudine esatte.

Il ricercatore Mantas Kasiliauskis spiega: “I dati sulla posizione sono davvero necessari per funzioni come la navigazione delle sedi olimpiche, le informazioni sulla posizione degli eventi e i consigli personalizzati. Possono rimanere solo sul dispositivo. Tuttavia, se l’app venisse violata, gli utenti potrebbero essere esposti a minacce sia digitali che fisiche”.

Gli esperti consigliano ai fan di fare attenzione ai permessi richiesti, di fornire solo il minimo indispensabile e di controllare regolarmente le impostazioni di privacy sui propri dispositivi. Si consiglia inoltre di rimuovere le applicazioni non utilizzate per ridurre al minimo il rischio di perdite.

L'articolo Le APP dei Giochi Olimpici di Parigi 2024 spiano gli utenti proviene da il blog della sicurezza informatica.

Con un recente post su Breached Forum, il threat actor USDoD ha dichiarato di aver raccolto oltre 330 milioni di indirizzi email, sostenendo di averli ottenuti attraverso lo scraping di Socradar[.]io, una piattaforma nota per il suo ruolo di cyber intelligence. Questa enorme raccolta di dati è ora disponibile per l’acquisto al prezzo di 7.000 dollari.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli vendita

Secondo l’annuncio di USDoD, il processo di raccolta dei dati ha richiesto tre giorni interi, durante i quali sono stati eseguiti scraping, parsing e rimozione dei duplicati. Il risultato è un file di 14,4 GB, fornito in formato CSV, messo in vendita per 7.000 dollari.

Questo prezzo sottolinea l’alto valore attribuito ai dati contenenti questo tipo di informazione. Nel post, USDoD non fornisce dettagli specifici o esempi dei dati disponibili, lasciando in sospeso la verifica dell’autenticità e della qualità del database.

Immagine del post rinvenuta nel Dark Web

Il threat actor in questione, USDoD, è stato recentemente intervistato, rivelando ulteriori dettagli sul suo background e sulle sue attività. Durante un’intervista (usdod.io/contact.txt), USDoD ha descritto il processo tecnico dietro l’operazione di scraping e ha discusso delle motivazioni che lo hanno spinto a entrare nel mondo del cyber crimine. Questo offre una rara opportunità di comprendere la mentalità di un individuo coinvolto in attività illecite di questo tipo.

Socradar.io e la Sicurezza dei Dati

Socradar.io è ampiamente riconosciuta per la sua capacità di identificare e prevenire minacce informatiche, e dunque nota per il suo lavoro in ambito CTI. Tuttavia, il presunto successo di USDoD nel raccogliere dati da questa piattaforma evidenzia potenziali falle nei sistemi di sicurezza delle informazioni, mettendo in discussione l’efficacia delle misure protettive adottate.

La presunta vendita di un database così vasto ha implicazioni significative:

• Rischi di phishing e spam: Con un numero così elevato di email a disposizione, i malintenzionati possono lanciare campagne di phishing mirate, aumentando i rischi per gli utenti.
• Integrità della sicurezza informatica: La possibilità di violare una piattaforma come Socradar.io solleva domande su come le aziende proteggono i dati sensibili e su quanto siano preparate a fronteggiare attacchi sofisticati.
• Conseguenze legali: Nonostante la vendita di questi dati violi le leggi internazionali sulla privacy, l’anonimato di chi frequenta i forum underground rende difficile perseguire legalmente i colpevoli.

Conclusione

L’annuncio di USDoD su Breached Forum è un ulteriore promemoria della necessità di rafforzare la sicurezza dei dati e l’importanza di una vigilanza continua contro le minacce informatiche. La collaborazione tra esperti e forze dell’ordine è fondamentale per affrontare queste sfide e garantire la sicurezza degli utenti a livello globale.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo 330 Milioni di Email violate da Socradar? L’Inquietante Offerta di USDoD sul Dark Web proviene da il blog della sicurezza informatica.

Art.270- quinquies c.p.:

Chiunque, al di fuori dei casi di cui all'articolo 270 bis, addestra o comunque fornisce istruzioni sulla preparazione o sull'uso di materiali esplosivi, di armi da fuoco o di altre armi, di sostanze chimiche o batteriologiche nocive o pericolose, nonché di ogni altra tecnica o metodo per il compimento di atti di violenza ovvero di sabotaggio di servizi pubblici essenziali, con finalità di terrorismo, anche se rivolti contro uno Stato estero, un'istituzione o un organismo internazionale, è punito con la reclusione da cinque a dieci anni.

La stessa pena si applica nei confronti della persona addestrata, nonché della persona che avendo acquisito, anche autonomamente, le istruzioni per il compimento degli atti di cui al primo periodo, pone in essere comportamenti univocamente finalizzati alla commissione delle condotte di cui all'articolo 270 sexies.

Le pene previste dal presente articolo sono aumentate se il fatto di chi addestra o istruisce è commesso attraverso strumenti informatici o telematici.>>

Il contenuto della norma

L’articolo 270 quinquies c.p. riguarda l’addestramento ad attività con finalità di terrorismo, anche internazionale. Questo articolo è stato introdotto con il decreto legge 27 luglio 2005, n. 144, convertito con modificazioni nella legge 31 luglio 2005 n. 155, ed è stato poi modificato dall’art. 1, comma 3, lett. a), D.L. 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla L. 17 aprile 2015, n. 43.

La norma tutela l’integrità dello Stato e l’ordine pubblico contro la minaccia terroristica. Si tratta di reato di pericolo concreto, caratterizzato, sotto il profilo dell’elemento soggettivo, da un duplice dolo specifico, costituito dalla volontà del soggetto agente di perseguire sia la finalità, intermedia, di addestrare altri o di conseguire, anche autonomamente, l’apprendimento di capacità all’uso di armi, di materiali esplosivi o di sostanze chimiche o batteriologiche, strumentali al compimento di atti di violenza o di sabotaggio di servizi pubblici essenziali, sia quella di terrorismo, anche internazionale, come definita dall’art. 270-sexies cod. pen.

Cosa dice la giurisprudenza

Il delitto di addestramento o di auto-addestramento ad attività con finalità di terrorismo, anche internazionale, di cui all’art. 270-quinquies, ultima parte, cod. pen., è reato di pericolo concreto, caratterizzato, sotto il profilo dell’elemento soggettivo, da un duplice dolo specifico, costituito dalla volontà del soggetto agente di perseguire sia la finalità, intermedia, di addestrare altri o di conseguire, anche autonomamente, l’apprendimento di capacità all’uso di armi, di materiali esplosivi o di sostanze chimiche o batteriologiche, strumentali al compimento di atti di violenza o di sabotaggio di servizi pubblici essenziali, sia quella di terrorismo, anche internazionale, come definita dall’art. 270-sexies cod. pen.(Cass., Sez. II, sent. n. 14885/22).

Ai fini della configurabilità del reato di addestramento ad attività con finalità di terrorismo anche internazionale, commesso dalla persona che abbia acquisito autonomamente informazioni strumentali al compimento di atti con la suddetta finalità, è comunque necessario che il soggetto agente ponga in essere comportamenti significativi sul piano materiale, univocamente diretti alla commissione delle condotte di cui all’art. 270-sexies cod. pen., senza limitarsi ad una mera attività di raccolta di dati informativi o a manifestare le proprie scelte ideologiche (Cass. Sez. I, sent. n. 7898/19 ).

In tema di addestramento ad attività con finalità di terrorismo anche internazionale di cui all’art. 270-quinquies c.p., le due figure soggettive dell’addestratore e dell’informatore si differenziano per la diversa qualità e intensità delle condotte, entrambe divulgative e implicanti l’esistenza di destinatari, in quanto solo la prima si connota di una idoneità formativa, che mira all’obiettivo di far acquisire non solo istruzioni e notizie tecniche, specie d’ordine bellico e militare, quanto di realizzare, in coloro che si giovano dell’addestramento, la capacità di porre in essere le condotte di tipo terroristico; l’informatore, invece, si limita a trasmettere istruzioni tecniche, senza curarsi se il destinatario sia nelle condizioni di recepirle, elaborarle e quindi sfruttarle in azioni di tipo terroristico (Cass., Sez. I, sent. n. 15089/19).

Ai fini della configurabilità del reato di addestramento ad attività con finalità di terrorismo anche internazionale, commesso dalla persona che abbia acquisito autonomamente informazioni strumentali al compimento di atti con la suddetta finalità, è comunque necessario che il soggetto agente ponga in essere comportamenti significativi sul piano materiale, univocamente diretti alla commissione delle condotte di cui all’art. 270- sexies cod. pen., senza limitarsi ad una mera attività di raccolta di dati informativi o a manifestare le proprie scelte ideologiche (fattispecie in cui la Corte ha ritenuto configurabile in sede cautelare il reato di cui all’art. 270 – quinquies cod. pen. sulla base di molteplici indici fattuali concreti, tra i quali il possesso da parte dell’imputato di video ed immagini riconducibili alla propaganda terroristica per lo Stato islamico o illustrativi di tecniche per la preparazione di un ordigno, scaricati con elevata frequenza nell’arco di un significativo periodo di tempo, nonché l’avere in rubrica telefonica un’utenza collegata ad altra in uso a soggetto poi arrestato per detenzione di armi ed esplosivi, Cass. Sez. V, sent. n. 6061/17).

L'articolo Digita Crime: Addestramento ad attività con finalità di terrorismo realizzata anche attraverso le tecnologie dell’informazione proviene da il blog della sicurezza informatica.

Un attacco informatico ha colpito un’organizzazione no-profit per la donazione del sangue che fornisce servizi a centinaia di ospedali nel sud-est degli Stati Uniti riporta la CNN.

L’attacco informatico ha sollevato preoccupazioni circa i possibili effetti sui servizi forniti da OneBlood ad alcuni ospedali. Secondo quanto affermato da diverse fonti a conoscenza della questione l’incidente dovrebbe essere opera di un ransomware.

L’attacco sta influenzando la capacità dell’organizzazione non-profit di spedire “prodotti sanguigni” agli ospedali in Florida, secondo un avviso inviato ai fornitori di servizi sanitari dall’Health Information Sharing and Analysis Center, un gruppo di condivisione di minacce informatiche.

OneBlood serve ospedali in Alabama, Florida, Georgia e Carolina del Nord e del Sud, secondo il suo sito web. In una dichiarazione, l’organizzazione non-profit ha riconosciuto l’attacco ransomware e ha affermato di aver lavorato a stretto contatto con esperti di sicurezza informatica e con le forze dell’ordine. L’organizzazione sta “operando a una capacità notevolmente ridotta”.

“Abbiamo implementato processi e procedure manuali per rimanere operativi. I processi manuali richiedono molto più tempo per essere eseguiti e hanno un impatto sulla disponibilità dell’inventario. Nel tentativo di gestire ulteriormente la fornitura di sangue, abbiamo chiesto agli oltre 250 ospedali che serviamo di attivare i loro protocolli critici di carenza di sangue e di rimanere in quello stato per il momento”, ha affermato Susan Forbes, portavoce dell’organizzazione non-profit.

La domanda che sorge spontanea è: le sacche di sangue che non arriveranno a destinazione, quali rischi per le persone potranno portare?

Siamo purtroppo arrivati al punto che la digitalizzazione è tutta attorno a noi e colpisce anche la vita delle persone. Un ascensore interconnesso, una macchina a guida autonoma o una azienda che supporta gli ospedali per fornire il sangue per i malati.

Fino a dove il cybercrime si spingerà in futuro? Purtroppo la risposta la sappiamo.

L'articolo Attacco alla Supply-Chain del sangue! Fino dove si spingerà il Cybercrime? proviene da il blog della sicurezza informatica.

Noyb sued the Hamburg data protection authority on 1 August in a bid to overturn its recent decision that German newspaper Der Spiegel "pay or okay" model was lawful.

euractiv.com/section/data-priv…

Disinformation and propaganda, long mainstays of war, have been digitally supercharged in the battle for Ukraine, the biggest conflict the world has seen since the advent of smartphones and social media.

euractiv.com/section/global-eu…

Telecom industry stakeholders have called on incumbent Commissioner for the Internal Market, Thierry Breton, to reconsider some of his previous stances in light of his potential reappointment for the 2024-2029 term.

euractiv.com/section/digital/n…

Greece’s Supreme Court prosecutor has shelved a case against the intelligence service, EYP, as a preliminary probe by the court showed no evidence that the agency used illegal phone malware to spy on targets.

euractiv.com/section/data-priv…

Spain's competition watchdog fined Booking.com with a record €413 million fine for "abusing its dominant position" during the past five years.

euractiv.com/section/competiti…