Oggi è un giorno speciale per gli appassionati di cybersecurity e criminologia: il libro “Algoritmo Criminale”, scritto da Pierguido Iezzi (un caro amico della community di Red Hot Cyber) insieme a Ranieri Razzante, è finalmente in edicola con Il Sole 24 Ore. Un risultato straordinario per un’opera che promette di fare luce su uno degli aspetti più complessi e inquietanti del crimine moderno: l’incontro tra tecnologia e criminalità organizzata.

Pierguido Iezzi, uno dei massimi esperti italiani di cybersecurity, ha descritto l’emozione di vedere il suo lavoro nelle edicole questa mattina. Con parole cariche di entusiasmo, ha raccontato l’impazienza e l’orgoglio di scoprire il libro esposto al pubblico, una testimonianza di quanto questo progetto sia stato per lui una missione oltre che un’opera editoriale.

“Algoritmo Criminale” non è solo un libro, ma una riflessione approfondita su come il crimine stia evolvendo grazie alla tecnologia. Scritto con la prefazione di Ivano Gabrielli, Direttore del Servizio Polizia Postale, e arricchito dalla postfazione di Antonio Nicaso, il libro esplora come le organizzazioni criminali utilizzino algoritmi, intelligenza artificiale e strumenti tecnologici avanzati per perpetrare reati sempre più sofisticati.

Pierguido Iezzi, grazie alla sua esperienza sul campo, offre una visione unica e concreta di queste dinamiche, rendendo il testo una lettura imprescindibile per chiunque voglia capire il futuro della sicurezza.

Disponibile già oggi in edicola e sullo shop online de Il Sole 24 Ore, il libro arriverà anche su Amazon e nelle librerie dal 22 novembre. Iezzi invita tutti i lettori a condividere il proprio feedback, considerandolo il regalo più bello che possano fargli. “Sapere cosa ne pensate è fondamentale”, ha scritto, sottolineando quanto tenga a creare un dialogo con chi leggerà il suo lavoro.

“Algoritmo Criminale” è un’opera che non solo informa, ma ispira. Grazie al contributo di esperti di fama internazionale, offre una panoramica dettagliata su come il crimine si stia trasformando nell’era digitale. Un tema di fondamentale importanza, affrontato con competenza e passione.

Non resta che immergersi nelle sue pagine e scoprire i segreti del crimine tecnologico.

L'articolo “Algoritmo Criminale”: Il nuovo libro di Pierguido Iezzi che Svela i Segreti del Cybercrime proviene da il blog della sicurezza informatica.

La Cyber Threat Intelligence (CTI) è una pratica che consiste nel raccogliere, analizzare e utilizzare informazioni relative alle minacce informatiche per proteggere le organizzazioni dalle attività malevoli. La CTI è diventata oggi un elemento chiave della sicurezza informatica, aiutando le organizzazioni a identificare e mitigare le minacce prima che causino dei danni concreti.

In questo articolo, esploreremo la Cyber Threat Intelligence in dettaglio, spiegando come funziona, quali sono i suoi principali vantaggi e come le organizzazioni possono implementare questa pratica per migliorare la loro sicurezza informatica.

Cos’è la Cyber Threat Intelligence

La Cyber Threat Intelligence consiste nell’analizzare i dati relativi alle minacce informatiche per identificare le intenzioni e le capacità degli aggressori. Questa pratica è essenziale per comprendere il rischio e adottare misure preventive contro attacchi informatici.

La CTI si basa su una vasta gamma di fonti di informazione, tra cui:

• Feed su avvisi inerenti la sicurezza informatica;
• Report di vulnerabilità e patch rilasciate dai fornitori di software;
• Analisi dei log di sicurezza;
• Analisi di siti web malevoli;
• Intelligenza collettiva, come gruppi di sicurezza informatica e forum online.

L’obiettivo principale della CTI è quello di aiutare le organizzazioni a comprendere le minacce informatiche che li circondano e a prepararsi per affrontare tali minacce.

Una buona Cyber Threat Intelligence dovrebbe fornire informazioni dettagliate sui tipi di minacce che possono interessare un’organizzazione, nonché sulle vulnerabilità del sistema che possono essere sfruttate dagli aggressori.

Oltre ai feed che abbiamo visto, esiste anche un altro tipo di feed proveniente direttamente dalle attività dei criminali informatici e vengono definiti “dark feed”.

Cosa sono i “dark feed”

Con il termine “dark feed” ci si riferisce a diversi contesti, ma in relazione alla cyber threat intelligence si riferisce generalmente ad una fonte di informazioni su attività criminali prelevate da Internet che non sono accessibili al pubblico in generale.

I dark feed sono quindi fonti di informazioni su minacce informatiche che provengono direttamente dall’ecosistema del cybercrime e non sono facilmente accessibili. Queste fonti possono includere forum e comunità online frequentati dl cybercrime, log delle botnet, gruppi di chat crittografati, dark web e fonti simili.

Le informazioni raccolte dai dark feed possono essere utilizzate per generare intelligence sulle minacce informatiche in corso, migliorare la comprensione delle tattiche e delle tecniche degli attaccanti e aiutare a sviluppare strategie di difesa più efficaci.

Tuttavia, poiché i dark feed possono essere fonti non ufficiali, è importante prendere in considerazione la qualità e l’affidabilità delle informazioni raccolte e verificare le fonti per ridurre il rischio di falsi positivi o informazioni errate. Va da se che più ci si avvicina alle attività dei criminali informatici, come nel caso dei dark feed, maggiore risulta essere il vantaggio strategico.

Come funziona un processo di Cyber Threat Intelligence

La Cyber Threat Intelligence funziona attraverso una serie di passaggi fondamentali:

1. Raccolta dei dati: le organizzazioni raccolgono dati da una vasta gamma di fonti, tra cui notizie, report di vulnerabilità, analisi dei log di sicurezza e intelligenza collettiva.
2. Analisi dei dati: una volta che i dati sono stati raccolti, vengono analizzati per identificare le minacce informatiche, le loro intenzioni e le loro capacità.
3. Creazione di profili delle minacce: in base all’analisi dei dati, vengono creati profili dettagliati delle minacce informatiche che possono interessare l’organizzazione.
4. Distribuzione delle informazioni: i profili delle minacce vengono distribuiti alle parti interessate all’interno dell’organizzazione, tra cui i team di sicurezza informatica, gli sviluppatori di software e i responsabili della gestione del rischio.
5. Prevenzione e mitigazione: le informazioni sui profili delle minacce informatiche vengono utilizzate per adottare misure preventive e mitigare le minacce.

Quali sono i vantaggi della Cyber Threat Intelligence

La Cyber Threat Intelligence, come abbiamo detto, aiuta le organizzazioni a comprendere meglio le minacce informatiche che circondano i loro sistemi e a proteggersi contro di esse. Questa pratica consente alle organizzazioni di identificare le aree del loro sistema che potrebbero essere vulnerabili alle minacce informatiche e di adottare misure preventive per proteggere i propri dati e le proprie informazioni.

Inoltre, la Cyber Threat Intelligence consente alle organizzazioni di prevedere le tendenze delle minacce informatiche future, il che significa che possono essere preparate per affrontare eventuali nuove minacce.

Un altro vantaggio della Cyber Threat Intelligence è che consente alle organizzazioni di collaborare tra loro per affrontare le minacce informatiche. Infatti, la condivisione di informazioni sulle minacce informatiche tra diverse organizzazioni può essere utile per tutte le parti coinvolte, poiché consente loro di imparare dalle esperienze degli altri e di identificare le tendenze delle minacce informatiche più ampie.

La CTI può essere utilizzata in vari contesti, inclusi quelli governativi, militari e commerciali. Le organizzazioni governative, ad esempio, possono utilizzare la CTI per identificare le minacce informatiche contro la sicurezza nazionale, mentre le organizzazioni commerciali possono utilizzarla per proteggere i propri sistemi e dati.

Tuttavia, l’implementazione della Cyber Threat Intelligence non è un compito facile e richiede competenze specialistiche e risorse significative. Le organizzazioni che intendono implementare la CTI devono essere pronte ad investire risorse e personale qualificato per creare e mantenere programmi di CTI efficaci.

Esempi pratici sull’utilizzo delle informazioni provenienti dalla CTI

DI seguito vogliamo riportare degli esempi pratici che possano far comprendere ai nostri lettori come la CTI possa dare supporto alle attività di intelligence delle aziende.

1. Identificazione delle vulnerabilità del sistema: utilizzando la CTI, le organizzazioni possono identificare delle vulnerabilità del proprio sistema preventivamente e adottare misure per mitigare i rischi. Ad esempio, possono installare patch di sicurezza o aggiornare il software per prevenire l’exploit delle vulnerabilità note.
2. Monitoraggio dell’attività dei malintenzionati: la CTI consente alle organizzazioni di monitorare l’attività dei malintenzionati sul proprio sistema. Le organizzazioni possono utilizzare queste informazioni per prevenire eventuali attacchi informatici e per mitigare i danni in caso di attacco.
3. Previsione delle tendenze delle minacce informatiche future: la CTI può essere utilizzata per prevedere le tendenze delle minacce informatiche future e per adottare misure preventive in anticipo. Ad esempio, le organizzazioni possono adottare misure preventive per proteggersi dalle nuove tecniche di attacco o dalle nuove minacce informatiche prima che diventino una vera e propria minaccia.
4. Condivisione di informazioni sulle minacce informatiche: le organizzazioni possono utilizzare la CTI per condividere informazioni sulle minacce informatiche con altre organizzazioni simili. Questa condivisione di informazioni può aiutare tutte le organizzazioni coinvolte a comprendere meglio le minacce informatiche e a identificare le tendenze delle minacce informatiche più ampie.
5. Protezione dei dati sensibili: utilizzando la CTI, le organizzazioni possono proteggere i propri dati sensibili da eventuali attacchi informatici. Ad esempio, possono adottare misure preventive per proteggere le informazioni di identificazione personale dei propri dipendenti o dei propri clienti.

La CTI quindi può offrire moltissimi benefici alle organizzazioni, tra cui la protezione dei propri sistemi e dati, la prevenzione degli attacchi informatici e la collaborazione tra le organizzazioni per affrontare le minacce informatiche.

Sistemi e tool a supporto della CTI

Gli analisti che lavorano in ambito della Cyber Threat Intelligence, possono beneficiare dell’utilizzo di una serie di strumenti o tool che consentono di automatizzare una serie di azioni ripetitive e manuali, in modo da concentrarsi nell’analisi dei dati.

La tipologia dei tool messi a disposizione per il mondo CTI sono:

1. Tool di raccolta dati: questi tool sono utilizzati per raccogliere dati relativi alle minacce informatiche da una vasta gamma di fonti, tra cui feed RSS, notiziari di sicurezza informatica, report di vulnerabilità e analisi dei log di sicurezza. Questi tool possono automatizzare il processo di raccolta dati e aiutare le organizzazioni a raccogliere informazioni in modo più rapido ed efficiente.
2. Tool di analisi dei dati: questi tool sono utilizzati per analizzare i dati raccolti dalle fonti di informazione. Possono essere utilizzati per identificare le tendenze delle minacce informatiche, le intenzioni degli aggressori e le vulnerabilità del sistema. Questi tool utilizzano spesso l’intelligenza artificiale e il machine learning per analizzare grandi quantità di dati in modo più efficace.
3. Tool di visualizzazione dei dati: questi tool sono utilizzati per visualizzare i dati raccolti e analizzati in modo più intuitivo e comprensibile. Possono utilizzare grafici, mappe e diagrammi per rappresentare le informazioni in modo più visivo e facile da capire.
4. Tool di condivisione delle informazioni: questi tool sono utilizzati per condividere informazioni sulle minacce informatiche tra diverse organizzazioni. Possono essere utilizzati per creare una comunità di sicurezza informatica, dove le organizzazioni possono condividere informazioni sulle minacce informatiche e collaborare per affrontare le minacce stesse.
5. Tool di gestione del rischio: questi tool sono utilizzati per gestire il rischio delle minacce informatiche e adottare misure preventive. Possono essere utilizzati per valutare la probabilità di un attacco informatico e per identificare le azioni che possono essere intraprese per mitigare i rischi.

Inoltre, ci sono anche tool di CTI gratuiti e open source che possono essere utilizzati dalle organizzazioni. Alcuni esempi di tool open source per la CTI includono MISP (Malware Information Sharing Platform), OpenCTI e ThreatPinch, ma anche Shodan.io, zoomeye.io ed altri ancora.

Pertanto vi auguriamo un fattivo studio del mondo della CTI, in quanto oggi è una tra le materie in ambito cybersecurity più utili e necessarie nel panorama delle minacce.

L'articolo Cos’è la Cyber Threat Intelligence. Scopriamo una disciplina fondamentale nella Cybersecurity proviene da il blog della sicurezza informatica.

Recentemente, un attore di minacce in un forum clandestino ha messo in vendita una violazione dei dati che presumibilmente includono informazioni sensibili di clienti italiani.

Non sappiamo ancora di quale azienda si parli ma il record sembra essere composto da id_cliente, nome, note, piva, email, azienda, cognome, password, telefono, cellulare, eliminato, codice_cliente, codice_fiscale, indirizzo_recapito, indirizzo_residenza, iscritto_newsletter. Tali campi lasciano pensare ad un sito di e-commerce online.

Nel post pubblicato, l’attore della minaccia, identificato con il nickname “dumpster“, sostiene di possedere un database di 180.000 contatti italiani. L’attaccante ha fornito un campione dei dati su Pastebin e ha dichiarato di accettare pagamenti tramite escrow.

Informazioni sull’obiettivo degli attori della minaccia

Gli attori di minaccia sembrano puntare a una vasta azienda o organizzazione italiana, data la quantità di dati personali dichiarati. Tale obiettivo può includere aziende operanti a livello nazionale con centinaia o migliaia di clienti. Tuttavia, non è stato ancora possibile confermare se i dati appartengano a una specifica azienda.

Se i dati fossero autentici, la loro esposizione comporterebbe seri rischi per le persone coinvolte, tra cui furto d’identità, attacchi di phishing mirati e altre forme di frode informatica. La presenza di password e contatti personali aumenta la vulnerabilità delle vittime a ulteriori attacchi.

La potenziale violazione rappresenta un serio rischio per la privacy dei cittadini italiani e sottolinea la necessità di misure di sicurezza avanzate per proteggere i dati personali. RHC Dark Lab seguirà l’evolversi della situazione per pubblicare ulteriori notizie sul blog, qualora ci fossero aggiornamenti sostanziali. Se ci sono persone a conoscenza dei fatti che desiderano fornire informazioni in forma anonima, possono utilizzare l’e-mail criptata dell’informatore.

L'articolo 180.000 Dati di Clienti italiani in Vendita! Qual è l’E-Commerce Sconosciuto? proviene da il blog della sicurezza informatica.

The common wisdom these days is that even if we wanted to get back to the Moon the way we did in the 1960s, we’d never be able to do it. Most of the blame for that usually falls on the loss of institutional knowledge thanks to skilled minds and hands that have been stilled by the passage of time, but the real kicker would be finding replacements for all the parts that we used back then that just aren’t made anymore. A similar problem exists for those seeking to recreate the circuits that graced the pages of the many magazines that catered to electronics hobbyists back in the day.

Take this “Space Age Decimal Computer” reproduction that [Bob Alexander] undertook. Smitten with the circuit after seeing our story about a 1966 article detailing its construction, he decided to roll one of his own. That proved to be far harder than he thought it would be. The original circuit, really little more than an adding machine using a rotary telephone dial as an input device, used neon lamp ring buffers for counting, The trouble is, while NE-2 neon lamps are still made, they aren’t made very precisely. That makes it difficult to build a working ring buffer, which relies on precise on and off voltages. That was even a problem back then; the author suggested buying 100 lamps and carefully characterizing them after aging them in to get the 60 lamps needed.

In the end, [Bob] settled for modifying the circuit while making the build look as close as possible to the original. He managed to track down the exact model of enclosure used in the original. The front panel is populated with a rotary dial just like the original, and the same neon lamps are used too, but as indicators rather than in ring buffers. Behind the scenes, [Bob] relied on 7400-series counters and decoders to make it all work — kudos for sticking with 1970s tech and not taking the easy way out with an Arduino.

The video below goes into more detail on the build and the somewhat kludgy operation of the machine, with a few excellent [Tom Lehrer] references and a nice Cybertruck dunk to boot.

youtube.com/embed/bYFRaweiN50?…

hackaday.com/2024/11/14/retro-…

Secondo fonti vicine al presidente degli Stati Uniti, Donald Trump impedirà il divieto di TikTok, che dovrebbe entrare in vigore il prossimo anno. Durante la campagna elettorale aveva promesso di “salvare” la popolare app se avesse vinto le elezioni.

TikTok, un servizio video che ha guadagnato un’enorme popolarità in tutto il mondo, rischia di essere bloccato negli Stati Uniti a causa dei requisiti stabiliti in una legge che impone a TikTok di trovare un nuovo proprietario non legato alla Cina entro il 19 gennaio.

Trump, secondo i suoi sostenitori, è già consapevole dell’importanza di TikTok per la sua campagna politica e ritiene che l’applicazione sia importante per connettersi con gli elettori. E nonostante nel 2020 abbia firmato personalmente un decreto che avrebbe potuto portare al ban di TikTok, durante la corsa elettorale ha cambiato posizione e ha promesso di tutelare il servizio.

Alcuni consiglieri del neoeletto presidente, tra cui Kellyanne Conway, sono fiduciosi che Trump, se necessario, interverrà nella situazione ed eviterà che la piattaforma venga bandita. Per fare ciò, però, potrebbe dover chiedere al Congresso di abrogare la legge o convincere il procuratore generale a non applicarla.

Se Trump decidesse di revocare il divieto, sarebbe un’inversione di rotta sorprendente per un presidente che in precedenza ha colto ogni occasione per criticare la Cina nelle sue politiche. È stato uno dei principali mandanti delle indagini su ByteDance, la società cinese proprietaria di TikTok, ma ora sembra aver cambiato tono, vedendo nell’app un potente strumento politico.

Se TikTok non riuscisse a vendere la propria partecipazione entro la fine di gennaio, la società potrebbe intentare una causa. I politici conservatori che sostengono il divieto sostengono che TikTok rappresenta una minaccia alla sicurezza nazionale a causa della possibile raccolta di dati degli americani da parte del governo cinese. Allo stesso tempo, molti americani credono che il divieto di TikTok sia più vantaggioso per gli interessi di concorrenti come Meta.

L’incertezza su TikTok continua ancora e il destino del servizio negli Stati Uniti rimane in un limbo. Tuttavia, molti esperti si aspettano che Trump difenda vigorosamente la sua posizione sulla questione una volta entrato in carica.

L'articolo Trump Ama TikTok? Una Mossa a Sorpresa verso un Disgelo con la Cina? proviene da il blog della sicurezza informatica.

To a casual observer of public discourse here in 2024 it seem extremely odd that the issue of replacing coal fired power stations with wind turbines is a matter of controversy, whether in America or Europe it’s an issue which causes some sparks to fly. The Atlantic has a recent article with a set of pictures from a gentler time in which the industrious nature of Nebraskan farmers in the 1890s receives praise as they create a wide variety of home-made wind turbines.

Farmers have always been the best hardware hackers, using what they have at hand to solve their problems and create the things they need. Perhaps out image of agricultural wind power is one of commercially produced wind pumps, but these are the generation of home-made devices which preceded that. Some of them look conventional to modern eyes, but others such as the horizontal “Jumbo” turbines have little equivalent today.

It’s easy to forget with so many energy sources at our disposal, that in the past the locality affected the choice of motive power. The Netherlands doesn’t have windmills because they are pretty, but because hundreds of years ago they lacked handy coal mines or convenient heads of water. Similarly out in the Nebraskan prairies they had plenty of wind, and never the folk to pass up on an opportunity, they made the best of it. And we’re very glad over a century later, that someone took the time to record their work.

If you’re hungry for more old-style wind power, we’ve got you covered, meanwhile 19th century America was no stranger to clever ways to use power.

Thanks [Hugh Brown] for the tip.

hackaday.com/2024/11/14/nebras…

One of the power supply boards in the Tom Evans Mastergroove SR MkIII preamplifier. (Credit: Mend it Mark, YouTube)
It’s not much of a secret that in the world of ‘audiophile gear’ there is a lot of snake oil and deception, including many products that are at best of questionable value. The Tom Evans Mastergroove SR mkIII preamplifier is one example of this, as [Mark] from the Mend it Mark YouTube channel found in a recent video when he got one to repair which the manufacturer claimed ‘could not be fixed’. This marvel of audio engineering provides amplification for record players, for the low-low price of only twenty-five thousand quid, or about 29.000 US bucks. So what’s inside one of these expensive marvels?

Claiming to be a high-end unit, with only ten units produced per year, you’d expect a gold-plated PCB with excellent noise isolation. The unit does come with an absolutely massive external power supply that dwarfs the preamplifier itself, but the real surprise came after opening up the unit itself to take a peek at the damage, some of which was caused by transport.

As it turns out, the inside of the preamplifier consists out of four stacks of rather cheap, home-made looking boards with what looks like improvised RF shielding in the form of bare PCBs and filed-off markings on many parts. In between the rat’s nest of wiring running everywhere, [Mark] had to trace the broken channel’s wiring, creating a full repair manual in the process. Along the way one of the opamp boards was found to be defective, courtesy of a single shorted tantalum capacitor.

With the tantalum capacitor replaced, [Mark] had repaired the unit, but even though the preamplifier isn’t terribly designed, the illusion of its price tag has been shattered worse than the contents of a parcel kicked across the parking lot by the Royal Mail.

Thanks to [Jim] for the tip.

youtube.com/embed/-RJbpFSFziI?…

hackaday.com/2024/11/14/repair…

There’s a lot going on in our wireless world, and the number of packets whizzing back and forth between our devices is staggering. All this information can be a rich vein to mine for IoT hackers, but how do you zero in on the information that matters? That depends, of course, but if your application involves Bluetooth, you might be able to snoop in on the conversation relatively easily.

By way of explanation, we turn to [Mark Hughes] and his Boondock Echo, a device we’ve featured in these pages before. [Mark] needed to know how long the Echo would operate when powered by a battery bank, as well as specifics about the power draw over time. He had one of those Fnirsi USB power meter dongles, the kind that talks to a smartphone app over Bluetooth. To tap into the conversation, he enabled Host Control Interface logging on his phone and let the dongle and the app talk for a bit. The captured log file was then filtered through WireShark, leaving behind a list of all the Bluetooth packets to and from the dongle’s address.

That’s when the fun began. Using a little wetware pattern recognition, [Mark] was able to figure out the basic structure of each frame. Knowing the voltage range of USB power delivery helped him find the bytes representing voltage and current, which allowed him to throw together a Python program to talk to the dongle in real-time and get the critical numbers.

It’s not likely that all BLE-connected devices will be as amenable to reverse engineering as this dongle was, but this is still a great technique to keep in mind. We’ve got a couple of applications for this in mind already, in fact.

youtube.com/embed/DO6pvIAu--E?…

hackaday.com/2024/11/14/blueto…

To tackle the growing electrification of devices, we’ll need to deploy more generation to the grid. The US Department of Energy (DOE) has unveiled a new target to triple nuclear generating capacity by 2050.

Using a combination of existing Generation III+ reactor designs, upcoming small modular and micro reactors, and “legislation like the ADVANCE Act that streamlines regulatory processes,” DOE plans to add 35 gigawatt (GW) of generating capacity by 2035 and an additional 15 GW installed per year by 2040 to hit a total capacity of 200 GW of clean, green atom power by 2050.

According to the DOE, 100 GW of nuclear power was deployed in the 1970s and 1980s, so this isn’t an entirely unprecedented scale up of nuclear, although it won’t happen overnight. One of the advantages of renewables over nuclear is the lower cost and better public perception — but a combination of technologies will create a more robust grid than an “all of your eggs in one basket” approach. Vehicle to grid storage, geothermal, solar, wind, and yes, nuclear will all have their place at the clean energy table.

If you want to know more about siting nuclear on old coal plants, we covered DOE’s report on the matter as well as some efforts to build a fusion reactor on a decommissioned coal site as well.

hackaday.com/2024/11/14/us-doe…

Gli stretti legami di Elon Musk con Donald Trump e il sostegno multimilionario alla campagna elettorale di quest’ultimo potrebbero nascondere programmi nascosti. Ad esempio, accelerando l’introduzione delle auto autonome Tesla sulle strade americane. Secondo Reuters, Musk sta sfruttando attivamente la sua attuale posizione per spingere verso cambiamenti nella regolamentazione delle auto a guida autonoma, soprattutto nel contesto del complesso e frammentato sistema legislativo americano.

Mentre Tesla deve affrontare sfide dovute ai diversi requisiti per i veicoli autonomi nei diversi stati, Musk vede una soluzione nella creazione di un unico standard federale. Un passo del genere, a suo avviso, semplificherà il processo di approvazione delle auto a guida autonoma e aprirà la strada all’uso commerciale dei robotaxi.

Musk ha più volte parlato della difficoltà nella regolamentazione a livello statale. Spera che la presa del potere di Trump acceleri l’adozione di un approccio unificato ai veicoli autonomi. Trump ha recentemente nominato Musk e un altro alleato alla guida di una nuova struttura per migliorare l’efficienza del governo, che potrebbe aumentare la sua influenza sulla legislazione sui trasporti.

Tuttavia, anche con un possibile sostegno a livello federale, Tesla dovrà superare seri ostacoli tecnologici e legali. In particolare, l’azienda è molto indietro rispetto a concorrenti come Waymo nel testare e gestire commercialmente veicoli autonomi. Nonostante le promesse di Musk, Tesla è ancora lontana dall’essere un robotaxi a tutti gli effetti in grado di operare in sicurezza senza l’intervento umano.

Concorrenti come Waymo e Cruise hanno accumulato milioni di miglia di prova negli ultimi anni e hanno già ricevuto i permessi per gestire commercialmente taxi a guida autonoma in California. Tesla, al contrario, ha condotto solo test minimi dal 2016 e non ha aggiornato i rapporti sulla tecnologia autonoma alle autorità di regolamentazione della California dal 2019. Musk, dal canto suo, è ottimista e prevede di rilasciare versioni autonome dei modelli Tesla in Texas e California entro la fine di quest’anno.

Tuttavia, anche se Tesla riuscisse a ottenere modifiche normative, l’azienda dovrà affrontare seri problemi nel tentativo di assolversi dalla responsabilità per gli incidenti se le sue auto saranno riconosciute come completamente autonome. Le compagnie assicurative non sono ancora pronte ad assicurare tali veicoli in massa, il che complica i piani della compagnia per introdurli sul mercato.

Ora che Musk sta usando la sua influenza politica per accelerare il progresso della tecnologia autonoma, resta la domanda se i suoi sforzi riusciranno a trasformare Tesla in un leader in questo nuovo campo di battaglia.

L'articolo Benvenuti nella Cyberpolitica! Musk e Trump Insieme per le Auto a Guida Autonoma proviene da il blog della sicurezza informatica.

The vast majority of motors that we care about all stick to a theme. They rely on the electromagnetic dance between electrons and magnets to create motion. They come in all shapes and sizes and types, but fundamentally, they all rely on electromagnetic principles at heart.

And yet! This is not the only way to create a motor. Electrostatic motors exist, for example, only they’re not very good because electrostatic forces are so weak by comparison. Only, a game-changing motor technology might have found a way to leverage them for more performance. It achieves this by working with fluid physics on a very small scale.

Electrostatic Foibles

Electrostatic motors date back to the 18th century, having first been developed by such luminaries as Andrew Gordon and Benjamin Franklin. These motors relied upon electrostatic principles; Franklin’s version used brass thimbles on a wheel which were attracted towards charged electrodes hooked up to Leyden jars. This was enough to create some rotational motion.

Our understanding of electricity and physics have progressed a lot since then. However, as with many electrostatic curios, these motors proved very limited in their usefulness. They have struggled to find widespread application due to their reliance on high voltages to work, and the fact they produce precious little torque. The technique of creating motion via electrostatic attraction and repulsion has found some applicability at the very small scale with microelectromechanical devices (MEMS). For these chip-sized devices, the tiny scale involved reduces the voltages involved significantly, and at small scales, torque or force requirements are much lower. Still, the electrostatic motor has remained relatively obscure to this day.

New Approach

The devices don’t just use droplets for drive. The “rails” use large droplets to deliver power where it needs to go, too. Credit: research paper
There’s a way to get around these limitations, and it’s outlined in a published in Nature.As the research outlines, there are already known ways to improve the performance of electrostatic motors. The paper cites low voltage operation, high torque, high efficiency, and the ability to scale up in thickness as desirable attributes; the latter in particular in reference to very thin MEMS motor designs. Low voltage operation can be achieved through the use of thin dielectric material in the electrostatic motor, while higher torque can be achieved by creating a motor with a very small stepping distance. Scaling in thickness is possible too, by using a layered motor design, and efficiency improvements are achievable by choosing a dielectric material with very low losses. The interesting thing this paper points out is that while these attributes have all been noted and explored individually, they haven’t been combined and leveraged in a single motor design.

The motors are a more advanced version of “electrowetting” actuators. These work by manipulating the surface tension of liquid droplets using an electric field—referred to as the electrowetting effect. That’s why they fall into the class of electrostatic motors. Basically, by creating electric fields with various electrodes, the droplets “wettability” on a surface can be affected, which can be exploited with multiple electrodes to move droplets around. The actuators themselves have droplets placed between surfaces with hydrophilic and hydrophobic regions, which attract and repel the droplets themselves. Thus, by moving the droplets in controlled fashion, the droplets can drag the surfaces around as they move, creating motion.

The magic is when you get more advanced and stack these things—hence, multilayer microhydraulic actuators. By stacking multiple layers, these actuators can offer high torque for their size without requiring high operating voltages, and they can move incredibly precisely. These actuators also achieve impressive power density, and their relative performance improves as they scale down to smaller sizes, too.

The structure is the key. Each polyimide layer of the actuator consists of an electrode array on one side and a droplet array on the other, and measures just 10 um thick. Individual layers are separated by fluid—droplets of water. Radially oriented droplets are distorted by the electrodes, which are covered in dielectric, and this drives the motion of the actuator. When an electric field is applied on one layer, they attract the droplets on a layer above, and as the droplets move, the drag the layer along. It’s not dissimilar to Franklin’s design from centuries ago, it’s just being done with different components on a different scale—and with many layers of droplets and electrode arrays stacked up for improved performance.
This diagram shows how the actuator can be configured for greater speed (top) or force output (bottom). The trick is how the layers move relative to each other—note the velocity vectors. Credit: Research paper
The layers can be configured to optimize for either speed or force, making the technology highly adaptable depending on the application. For instance, a five-layer actuator in “speed mode” could move each higher layer at a relative velocity to the one below it, with the effect stacking so the top layer is moving much faster than the bottom. Alternatively, when configured for force, each layer moves in the opposite direction relative to the one below it, significantly increasing the available force while maintaining a compact form factor. Alternatively, the same principles can be applied to create a linear actuator, too.

Multilayer microhydraulic actuators could be a game-changer for robotics, especially at small scales where conventional inductive motors fall short. The actuators’ ability to deliver high torque with precise control makes them ideal for use in micro-robotic systems, including robotic surgery, where dexterity, fine movement, and force are all vital.

Additionally, because these actuators don’t require external gearing to change their speed or force characteristics, they can be more compact and flexible for some applications than their inductive counterparts. This could open up new possibilities for responsive robotic joints, providing new levels of performance and finesse in fields like prosthetics.
Linear versions are possible, too. Credit: research paper
One of the most exciting aspects of this technology is how it scales. These multilayer microhydraulic actuators improve as they get smaller. Reducing the droplet pitch from 40 µm to 15 µm increases torque and power density by an order of magnitude, making these actuators a promising solution for future micro-scale applications. Basically, the smaller they go, the better they get.

While the potential is vast, the technology does face some challenges. The fluidic nature of the actuators introduces the need for precision fabrication to prevent issues like evaporation and contamination. Moreover, particles as small as 10 µm can affect performance, requiring careful handling and assembly in clean environments. These aren’t rough and tumble rugged motors—they’re precise and delicate machines. Neither are these particularly useful at large scales—don’t expect to see this technology running your drones or EV. That’s not really what it’s about. It’s more of a small scale thing.

Oh by the way they have insane acceleration. Full speed after the first step.

This is realtime! Cmonnnnn pic.twitter.com/s607zPOwEN

— Nick Parker (@NickParkerPrint) October 6, 2024

youtube.com/embed/wPNTPmAIqf4?…

These actuators are being used in chip assembly work.

Multilayer microhydraulic actuators represent a significant leap forward in actuation technology, offering high torque, precision, and efficiency at low voltages. Their unique ability to scale down without losing performance makes them an attractive option for applications ranging from robotics to medical devices. As researchers continue to refine this technology, we may soon see these actuators powering the robots and machines of tomorrow.

hackaday.com/2024/11/14/microf…

Anyone who was around for the various wars and conflicts of the early 2000s probably recalls the video clips showing guided bombs finding their targets. The black-and-white clips came from TV cameras mounted in the nose of the bomb, and were used by bombardiers to visually guide the warhead to the target — often providing for a level of precision amounting to a choice of “this window or that window?” It was scary stuff, especially when you thought about what was on the other side of the window.

Surprisingly, television-guide munitions aren’t exactly new, as this video on TV-guided glide bombs in WWII indicates. According to [WWII US Bombers], research on TV guidance by the US Army Air Force started in 1943, and consisted of a plywood airframe built around a standard 2000-pound class gravity bomb. The airframe had stubby wings for lift and steerable rudders and elevators for pitch and yaw control. Underneath the warhead was a boxy fairing containing a television camera based on an iconoscope or image orthicon, while all the radio gear rode behind the warhead in the empennage. A B-17 bomber could carry two GB-4s on external hardpoints, with a bulky TV receiver provided for the bombardier to watch the bomb’s terminal glide and make fine adjustments with a joystick.

In testing, the GB-4 performed remarkably well. In an era when a good bombardier was expected to drop a bomb in a circle with a radius of about 1,200′ (365 meters) from the aim point, GB-4 operators were hitting within 200′ (60 meters). With results like that, the USAAF had high hopes for the GB-4, and ordered it into production. Sadly, though, the testing results were not replicated in combat. The USAAF’s 388th Bomber Group dropped a total of six GB-4s against four targets in the European Theater in 1944 with terrible results. The main problem reported was not being able to see the target due to reception problems, leaving the bombardiers to fly blind. In other cases, the bomb’s camera returned a picture but the contrast in the picture was so poor that steering the weapon to the target was impossible. On one unfortunate attack on a steel factory in Duren, Germany, the only building with enough contrast to serve as an aiming point was a church six miles from the target.

The GB-4’s battlefield service was short and inglorious, with most of the 1,200 packages delivered never being used. TV-guided bombs would have to wait for another war, and ironically it would be the postwar boom in consumer electronics and the explosion of TV into popular culture would move the technology along enough to make it possible.

youtube.com/embed/s0eTF8L5vUg?…

hackaday.com/2024/11/14/retrot…

Outdone only by nuclear fusion, the process of nuclear fission releases enormous amounts of energy. The ‘spicy rocks’ that are at the core of both natural and artificial fission reactors are generally composed of uranium-235 (U-235) along with other isotopes that may or may not play a role in the fission process. A very long time ago when the Earth was still very young, the ratio of fissile U-235 to fertile U-238 was sufficiently high that nuclear fission would spontaneously commence, as happened at what is now the Oklo region of Gabon.

Although natural decay of U-235 means that this is unlikely to happen again, we humans have learned to take uranium ore and start a controlled fission process in reactors, beginning in the 1940s. This can be done using natural uranium ore, or with enriched (i.e. higher U-235 levels) uranium. In a standard light-water reactor (LWR) a few percent of U-235 is used up this way, after which fission products, mostly minor actinides, begin to inhibit the fission process, and fresh fuel is inserted.

This spent fuel can then have these contaminants remove to create fresh fuel through reprocessing, but this is only one of the ways we have to extract most of the energy from uranium, thorium, and other actinides like plutonium. Although actinides like uranium and thorium are among the most abundant elements in the Earth’s crust and oceans, there are good reasons to not simply dig up fresh ore to refuel reactors with.

All About The Neutrons

A photo of yellow cake uranium, a solid form of uranium oxide produced from uranium ore. Yellow cake must be processed further before it is made into nuclear fuel. Courtesy of Energy Fuels Inc.
Forming nuclei as heavy as uranium requires something more than the standard nuclei-forming process (s-process) in the average star. An integral part of nuclear astrophysics, the s-process stands for ‘slow’ and refers to the rate of neutron capture of nuclei. Essentially it refers to the number of neutron captures that happen before nuclear decay can occur. The s-process is sufficient to create many of the elements we know from the periodic table heavier than iron (Fe) via various decay chains, with the remaining elements requiring the much higher neutron-density flux of the rapid, or r-process.

The difference between the s- and r-process is quite severe, with the s-process requiring seed nuclei from the proton, or p-process, while the r-process with many orders of magnitude higher neutron capture events can create its own own nuclei and from them the heavy elements such as the actinide series that include americium, plutonium, as well as a range of synthetic elements commonly referred to as the transuranium elements: the transuranics. Within an astrophysical context, however, neutron stars are probably the biggest source of these heavier elements.

Once this proverbial stardust has gone through planet formation, the first multicellular life can evolve into intelligent life over the course of a few million years. After this, said intelligent life can then proceed to dig up uranium ore for use in a nuclear fission reactor.

During the millions of years that humanity took to evolve to this point, however, the fissile U-235 has largely undergone decay already, while the fertile U-238 isotope, whcih can become fissile upon neutron capture, now makes up most of the uranium ore recovered today. This is why for certain types of fission reactors that use slow neutrons the uranium fuel is ‘enriched’, meaning that the amount of U-235 in it is increased from the approximate natural 0.7% to 3 – 5% for use in LWRs.

After the optional enrichment step, fuel fabrication can commence. The typically ceramic fuel pellets are then inserted into a fission reactor and the U-235 is exposed to a neutron source that then kickstarts a nuclear chain reaction.

Reprocessing And Pyroprocessing

Schematic view of PWR fuel assembly (Credit: Mitsubishi Nuclear Fuel)
The exposure of fissile isotopes to neutrons results in rapid nuclear decay, along well-known decay chains into a range of different isotopes. Some of these are helpful – like fissile Pu-239 – but minor actinides, Pu-240 as well as other isotopes that are formed inside the ceramic LWR fuel pellets will interfere with the nuclear chain reaction, reducing its efficiency. After replacing such spent fuel with fresh fuel, the spent LWR fuel can then be processed in a number of ways to use up the remaining fissile isotopes, the primary ones being reprocessing and pyroprocessing.

Effectively, the spent LWR fuel isn’t so different from the uranium ore, with the isotopes being separated from the ceramic material rather than the minerals in uranium ore. This process can be performed in a few ways:

• hydrometallurgy – dissolving into an aqueous solution, e.g. PUREX.
• electrometallurg – using electric current.
• pyrometallurgy – smelting the pellets to separate the metal from the mineral.

Of these hydrometallurgy is the oldest method, as well as the one most commonly used. France’s La Hague reprocessing plant processes about 1700 tons of spent fuel per year using the PUREX (plutonium-uranium-extraction) method which uses concentrated nitric acid to assist in separating the uranium and plutonium via solvent extraction steps along which various other isotopes (e.g. neptunium for Pu-238 production) can be separately recovered.

The remaining liquid after PUREX contains about 3% of the original used fuel material, which is generally disposed of as high-level waste with this reprocessing process. The recovered uranium and plutonium is then used together with fresh uranium to create a blend (mixed oxide, or MOX) fuel that can be used in LWRs again. There are a few variations on the basic PUREX process, but they all come with various trade-offs and the necessity for a long and tedious process.

This is where pressurized heavy water reactors (PHWRs) and fast neutron reactors (FNRs) can provide the missing link to fully close the uranium fuel cycle.

Fast Neutrons

Overview of the thermal energy transfer in the Natrium reactor design. (Source: TerraPower)
The PHWR reactor uses so-called ‘heavy water’ (deuterium), which unlike its lighter sibling does not moderate neutrons, thus allowing for a PHWR to also work with fast neutrons. Unlike the slower, thermal neutrons in water-moderated LWRs, this means that these reactors can also use much more of the fertile isotopes in the fuel. An interesting approach here is the direct use of spent LWR fuel in Canadian-designed CANDU PHWRs, called DUPIC. Normally CANDU reactors use either natural or only slightly enriched uranium fuel, using which they can achieve very high burn-up rates.

This DUPIC method does not require any reprocessing, but takes the ceramic fuel and merely puts it into fuel assemblies that work in the CANDU reactor. This and similar approaches are being trialed by South Korea, and China.

Effectively the use of PHWRs is similar to FNRs, which are a popular choice for closing the uranium fuel cycle, including the currently under construction Natrium reactor by TerraPower. By increasing the selection of available neutrons (thermal and fast), FNRs can effectively function as a breeder (turning fertile isotopes into fissile ones) while burning up all fissile isotopes. As this includes minor actinides and transuranics, this means that in an FNR theoretically every single last bit of radioactive fuel can be used, leaving no radioactive waste to handle. Through a constant process of neutron capture within the reactor, the isotopes will rush through their decay chains until finally reaching a state where their nuclear cross-spectrum no longer makes them viable nuclear fuel, or a radiological hazard.

So why is that we don’t fully burn up uranium fuel fully today, but instead usually use a once-through fuel cycle?

It’s The Economy, Silly

Schematic overview of dry cask storage of spent LWR fuel. (Credit: NRC)
One defining characteristic of nuclear fission plants is that the fuel costs end up being practically a rounding error over their operating life. This is defined both by the abundance of uranium ore and the relatively small amounts of it needed by an LWR’s roughly two-yearly refuel cycle. Although countries like France reprocess virtually all of their LWR fuel, this is more a part of their energy independence strategy, even if it has the benefit of minimizing the amount of nuclear waste. While the PUREX process results in high-level waste, this type of waste also decays very rapidly, reaching background levels within a matter of decades.

With the current resurgence in new nuclear construction, uranium commodity prices have also gone up, along with newly (re)opened uranium mines getting a lot of investor interest. Although uranium is incredibly abundant in the soil (with much more dissolved in the oceans), economics says that with more economical ways to close the uranium fuel cycle, reprocessing, reusing and burning up uranium fuel becomes the logical approach.

Before even tapping into fertile isotopes like thorium 232, the uranium we can extract today for energy production should be enough to last us many thousands of years. All because of the neutron flux in stars capturing all this energy, which is a process that continues to this day throughout the Universe.

Featured image: Solar flare on the Sun’s surface. (Credit: NASA)

hackaday.com/2024/11/14/the-li…

L’FBI, la NSA e le agenzie dell’alleanza di intelligence Five Eyes, che unisce le agenzie di intelligence di Australia, Canada, Nuova Zelanda, Stati Uniti e Gran Bretagna, hanno pubblicato un elenco delle 15 vulnerabilità più sfruttate nel 2023. La stragrande maggioranza dei problemi presenti in questo elenco sono ancora sotto attacco attraverso l’utilizzo di exploit 0-day.

“Nel 2023, gli aggressori hanno utilizzato più vulnerabilità zero-day per compromettere le reti aziendali rispetto al 2022, consentendo loro di condurre operazioni informatiche contro obiettivi con priorità più elevata”, scrivono gli autori del documento.

Notano inoltre che la maggior parte delle vulnerabilità 0day più “popolari” nel 2023 sono state inizialmente sfruttate dagli aggressori in attacchi attivi, mentre nel 2022 meno della metà delle vulnerabilità apparteneva a questa categoria.

Il rapporto evidenzia che 12 delle 15 vulnerabilità del nuovo elenco hanno ricevuto correzioni nel 2023. Ciò significa che gli hacker concentrano i loro attacchi specificatamente sui giorni 0, sfruttando le vulnerabilità quando sono già diventate note, ma non sono ancora presenti delle correzioni.

“L’utilità delle vulnerabilità diminuisce nel tempo man mano che sempre più sistemi vengono aggiornati o sostituiti. Gli aggressori beneficiano sempre meno degli exploit 0-day, grazie agli sforzi internazionali degli esperti di sicurezza informatica per ridurre la durata di sfruttamento di un exploit collegato ad una vulnerabilità 0-day”, affermano le forze dell’ordine.

L’elenco delle vulnerabilità più sfruttate nel 2023 è il seguente:

Il leader nella “classificazione” è stato il bug monitorato con il CVE-2023-3519 in NetScaler ADC/Gateway, che consente l’esecuzione di codice remoto su server senza patch. Ricordiamo che l’anno scorso migliaia di server, compresi quelli appartenenti a organizzazioni di infrastrutture critiche statunitensi, sono stati colpiti da attacchi di hacker con questa vulnerabilità.

Le forze dell’ordine raccomandano alle organizzazioni di tutto il mondo di affrontare immediatamente queste vulnerabilità e di implementare sistemi di gestione delle patch per ridurre al minimo i rischi di potenziali attacchi alle loro reti. Dopotutto, lo sfruttamento dei bug elencati nel rapporto continuerà probabilmente anche nel 2025.

L'articolo Ecco a voi i 15 bug più Pericolosi del 2023: L’Elenco Pubblicato dalle Agenzie di Intelligence proviene da il blog della sicurezza informatica.

It’s not much of a secret that Texas’ nearly completely isolated grid is in a bit of a pickle, with generating capacity often being handily outstripped during periods of extreme demand. In a latest bid to fight this problem, smart thermostats are being offered to customers, who will then participate in peak-shaving. The partnership between NRG Energy Inc., Renew Home LLC, and Alphabet Inc. will see about 650,000 of these thermostats distributed to customers.

For customers the incentive would be mostly financial, though the details on the potential cost savings seem scarce. The thermostats would be either a Vivint (an NRG company) or Google Nest branded one, which would be controlled via Google Cloud, allowing for thermostat settings to be changed to reduce the load on the grid. This is expected to save ‘300 MW’ in the first two years, though it’s not clear whether this means ‘continuously’, or intermittent like with a peaker natural gas plant.

Demand curtailment is not a new thing, with it being a big thing among commercial customers in South Korea, as we discussed within the topic of vehicle-to-grid energy storage. Depending on how it is implemented it can make a big difference, but it’ll remain to see how regular consumers take to the idea. It also provides more evidence for reducing grid load being a lot easier than adding grid-level storage, which is becoming an increasingly dire topic as more non-dispatchable solar and wind power is added to the grid.

hackaday.com/2024/11/14/smart-…

Non ho mai usato friendica ma sono pratico con il fediverso sopratutto con mastodon sull'istanza livellosegreto.it

Su mastodon, almeno su quel server, non è possibile scrivere tanto testo, quindi ho deciso di aprire qui un profilo pubblico.

Quello di cui vorrei ogni tanto parlare (preferisco la qualità alla quantità) è ciò che mi appassiona, ovvero:
-opensource e privacy (grapheneos, aosp, fdroid, scelte di vita relative)
-dipendenza dalla tecnologia (approccio alla vita sana e alternative contro le dipendenze tecnologiche, in tutti i sensi possibili)
-musica (ascolto musica da veramente una vita, ho una cultura immensa e vorrei condividerla e ascoltare ciò che propongono di bello gli altri)
-cinema (ne guardo assai poco ma un tempo ero fissato con il cinema asiatico!)
-vita sotto la salute mentale (ero hikikomori e ora vivo con assistenza psichiatria, sarebbe interessante parlarne approfonditamente senza dare informazioni banali)
-altro (non mi viene in mente molto ora ma spero apprezzerete i vari argomenti!!)

Non ho app del fediverso ma faccio tutto via browser quindi, essendo che mi sono appena iscritto, mi ci vorrà un po' per ingranare e crearmi un feed interessante! Spero che comunque sia gradita la mia presenza qui.

Un saluto!

Kaspersky’s Global Research and Analysis Team constantly monitors known and emerging cyberthreats directed at the financial industry, with banks and fintech companies being the most targeted. We also closely follow threats that aim to infiltrate a wider range of industries, namely ransomware families that are financially motivated.

These observations, as part of our Kaspersky Security Bulletin, help us devise predictions about how the financial cyberthreat landscape will change over the year. This report outlines notable attack trends we expect to face, to help businesses and individuals protect from them. Let’s first look into our predictions for 2024 to see how they turned out, explore the key events in the financial cyberthreat landscape during the year, and then try to predict the trends for 2025.

How accurate were the 2024 predictions?

1. Increase in AI-powered cyberattacks

   
   ✅ True

   The prediction that anticipated an upsurge in cyberattacks leveraging machine learning tools turned out to be true. In 2024, we saw cyberattacks boosted by AI emerge not only through emails, manipulated ads, phishing attacks (approximately 21% of phishing emails are now generated by AI) and other content, but also as an effective way to bypass biometric authentication. Machine learning tools allowed criminals to open new accounts using leaked data, impersonating the victims and bypassing security mechanisms used in the KYC (know-your-customer) process, manipulating and changing faces, videos, pictures, etc. Threat actors like Gringo 171 specialized in developing these tools, selling them to any criminal interested in bypassing biometrics authentication. As an example, in one recent case, Brazilian Federal Police arrested criminals who were using AI-powered tools to open bank accounts for money laundering. They opened thousands of accounts, creating fake faces and easily bypassing biometric checking.

2. Fraudulent schemes targeting direct payment systems

   
   ✅ True

   The prediction that cybercriminals would exploit direct payment systems like PIX, FedNow and UPI through clippers and mobile banking Trojans was confirmed. We saw the appearance of GoPIX, a banking Trojan in Brazil targeting the PIX real-time payment system and implementing clipboard monitoring as a way of changing keys and stealing payments. The same technique was used in a Trojan targeting Android devices. Other banking Trojan families already implemented cryptocurrency stealing functionality by targeting the sites directly, or intercepting user clipboard.

   While there haven’t been any major publicly reported fraud cases directly tied to the FedNow system as of October 2024, concerns about the potential for fraud remain high. FedNow, the Federal Reserve’s real-time payment service, allows for instant fund transfers, but its rapid nature can be exploited by fraudsters, especially in the form of authorized push payment (APP) fraud.

   Regarding UPI, the national direct payment system of India, scammers spammed UPI IDs with multiple collect requests. It’s easy to crack a UPI ID as it is generally formed with the user’s mobile number followed by the UPI provider name. Scammers can obtain victims’ phone numbers, as they are widely used in public — for online shopping, in malls, restaurants and so on. Users have been getting many fraudulent money collect and autopay requests from Netflix, Google Pay, etc. in their UPI accounts. In some cases, these are authentic UPI autopay requests initiated by fraudsters from their Netflix accounts, making an unsuspecting user essentially pay for the scammer’s subscription.

   Finally, we have noticed a rise in fake instant payment apps in Latin America, used to carry out different kinds of scams. In this context, cybercriminal groups are developing apps that convincingly mimic monetary transactions, displaying a fake receipt without any real connection to transactional systems, to trick sellers into engaging in illegal or loss-making transactions. These apps are sold on dark web forums to scammers who use them to make fake purchases on behalf of small businesses.

3. Global adoption of Automated Transfer Systems (ATS)

   
   ☑️ Partially true

   The prediction suggested that attacks with mobile ATS will become adopted globally. While mobile banking Trojans using ATS were already a reality, their global adoption is still underway. One of the groups behind the development of a particular malware family using this technique in Brazil was planning to expand their attacks to Europe by launching a test version of the malware. However, before they had a chance to spread out, they were arrested following a Kaspersky notification to the Brazilian police.

   Moreover, with Google continuing to restrict even further the Accessibility permission in newer Android versions, we believe it will be harder for malware in general to apply the ATS trick in future mobile banking Trojan developments, as this needs accessibility settings enabled.

4. Resurgence of the Brazilian banking Trojans

   
   ✅ True

   The prediction that attacks by the Brazilian banking Trojans would become more extensive, and Grandoreiro would gain momentum was confirmed. The Brazilian banking Trojans arose in 2024 as a global threat, targeting many countries and expanding their reach. The most prevalent families in 2024 have been Guildma, Javali, Melcoz, Grandoreiro (the Tetrade group). Other families are Banbra, BestaFera, Bizarro, ChePro, Casbaneiro, Ponteiro, and Coyote. Grandoreiro expanded to target more than 1700 banks in 45 countries, on every continent, and even the arrest of several gang members didn’t stop them. In the top 30 banking Trojan families we detected worldwide, 11 are of Brazilian origin and account for 22% of all detections on our users in 2024 (according to the KSN statistics gathered from January to October 2024).

5. Ransomware target selection

   
   ✅ True

   The prediction suggested that ransomware groups would turn to more targeted, highly selective attacks. In 2024, ransomware groups have intensified their focus on high-value targets, with larger organizations, particularly those whose revenue exceeds $5 billion, continuing to be the primary marks due to a likelihood of extracting higher ransoms from these. This trend aligns with a shift toward targeting of financial services and especially banking institutions, there being a marked increase in attacks. Banks alone accounted for 20% of ransomware incidents in this sector. The average ransom demand rose by $400,000 from 2023 to 2024, underscoring attackers’ pursuit of higher payouts. However, while the most skillful ransomware operators have homed in on high-profile sectors, other groups continue to strike broadly, impacting the government, healthcare, and education sectors. This dual approach drove a 21.5% rise in ransomware incidents from Q1 to Q2 2024 and a year-over-year increase of 4.3% in the first half of the year, suggesting that, despite a selective trend, ransomware still remains a widespread threat across industries.

6. Open-source backdoored packages

   
   ✅ True

   The prediction anticipated a worrying increase in open-source backdoor packages, which we observed to be true. The XZ Backdoor was a major incident affecting Linux distributions when backdoored packages ended up inside popular OSS. We did an extensive analysis of this backdoor here, here and here. Unfortunately, it wasn’t the only one, as we saw many other similar incidents this year.

7. Decrease in 0-days, increase in 1-day exploits

   
   ❌ False

   The prediction that crimeware actors would shift from zero-day to first-day exploits has proven inaccurate for 2024, as recent trends indicate a sustained and even heightened reliance on zero-day vulnerabilities. According to CVE.org, it registered 28,961 vulnerabilities in their catalog in 2023, while January through November 2024, the program registered 29,004, the highest number ever recorded.

   According to the Rapid7 2024 Attack Intelligence Report, the use of zero-day exploits has surged, with 53% of widely exploited CVEs recently beginning as zero-day attacks — a trend observed in two of the last three years. This focus on zero-days has been reinforced by the sophisticated and orchestrated nature of recent attacks, where 23% of widespread threat CVEs have been attributed to high-value zero-day vulnerabilities. The commercial market for zero-day exploits is also booming, with brokers offering significant payouts, such as up to $2 million for iPhone zero-days. In contrast, there is no evidence pointing to a rise in first-day exploit usage among crimeware actors, underlining that zero-day attacks remain a primary tactic in the cybersecurity threat landscape.

8. Exploitation of misconfigured devices and services

   
   ✅ True

   The prediction regarding the exploitation of misconfigured devices and services has proved accurate in 2024, as evidenced by the EMERALDWHALE operation. This global campaign specifically targeted misconfigured Git setups, resulting in the theft of over 15,000 cloud service credentials and unauthorized access to more than 10,000 private repositories. The impact was extensive, compromising various services, including cloud providers and email platforms, which underscores the widespread nature of vulnerabilities relating by misconfiguration. Attackers used private, automated tools to scan, extract, and verify stolen tokens from misconfigured services, significantly expanding their reach and efficiency. This misconfiguration trend also exposed sensitive data stored in configuration files, such as Laravel’s .env files, and highlighted cloud storage vulnerabilities, such as a compromised Amazon S3 bucket containing over a terabyte of sensitive information.

9. Fluid composition of affiliate groups

   
   ✅ True

   The prediction suggesting a more fluid distinction between cybercrime groups has proven accurate. In 2024, the ransomware ecosystem has become increasingly dynamic and adaptable, with affiliates adopting a “multi-platform” approach. Many threat actors are now working with multiple ransomware families simultaneously, allowing them to optimize their operations and mitigate risks associated with relying on a single group. For instance, cybersecurity researchers have observed affiliates actively participating in campaigns for different ransomware families, switching between groups like BlackMatter, and newly emerged ones, such as RansomHub. This strategic approach allows them to maintain a constant stream of attacks by leveraging different ransomware strains depending on the target, potential payout, and current operational status of each RaaS platform. The fragmentation of the ransomware landscape is evident, with the number of groups listing victims rising from 43 to 68 and the emergence of 31 new groups in the past year alone. This decentralization complicates law enforcement efforts, as tracking and containing these groups has become more challenging due to their agile structure and international reach. Smaller groups like Medusa and Cloak are capitalizing on this fluid environment, offering attractive profit-sharing on dark web resources to draw affiliates. For example, Medusa is offering up to 90% profit-sharing to attract affiliates, while Cloak allows affiliates to join without any initial payment. Meanwhile, established platforms continue to evolve their offerings to retain and attract skilled operators.

10. Adoption of less popular / cross-platform languages

    
    ✅ True

    The prediction anticipated that cybercriminals would turn to lesser-known programming languages to evade detection. Multiple threats have emerged from the adoption of fairly new or non-standard programming languages used for malware development. Tooling like KrustyLoader (a loader implant written in Rust), NKAbuse, or even K4Spreader (a loader used by 8220 Gang and written in Golang) has been caught in the wild. Moreover, we saw Trojan spies, banking Trojans and other financially motivated malware developed in Go. These are a clear signal that malware developers make use of these languages not only because of their practicality and easy portability to different OSs, but also because they make analysis a more strenuous task.

11. Emergence of hacktivist groups

    
    ✅ True

    The prediction that saw the rise of hacktivist groups due to global conflicts proved to be true. The hacktivist scene got only bigger and stronger. The presence of new groups in different parts of the world and the increase in surrounding conflicts offer a fertile ground for hacktivism. Currently, groups such as CiberInteligenciaSV, a Salvadoran hacktivist group created in early 2024, can reach up to two or three leaks per day. SiegedSec and GhostSec are two hacktivist groups that are part of an alliance called The Five Families. They continue to attack critical infrastructure, such as ICS/SCADA and GNSS satellite receivers, in various countries, mainly in conflict zones associated with current geopolitical events.

Crimeware predictions for 2025

1. Upsurge in stealer activity

   
   Victims’ information gathered through stealer attacks will lead to an increase in crime: either cybercrime or traditional crime. Lumma, Vidar, RedLine and others will survive disruptive operations by law enforcement, adapt and adopt new techniques. New players among stealer families will appear.

2. Attacks against central banks and open banking initiatives

   
   Central banks are responsible for implementing and running instant payment systems, CBDCs (central bank digital currencies), transferring gigabytes of data among financial entities through open banking initiatives, etc. This will make central banks an interesting target for cybercriminals. Open banking systems rely heavily on APIs to allow the sharing of data. APIs can be vulnerable to abuse, where attackers manipulate API endpoints to gain unauthorized access to sensitive data. We expect the number of attacks targeting central banks and open banking APIs to rise significantly over the year.

3. Increase in supply chain attacks on open-source projects

   
   In the wake of the XZ backdoor incident, the open-source community began to check every commit in OSS projects more thoroughly. This increased vigilance is likely to uncover both new attempts and previously successful backdoors implanted through malicious commits. Furthermore, a high success rate and associated impact increase the popularity of this tactic.

4. New blockchain-based threats

   
   The ever-growing use of blockchain in new technology and the increasing adoption of cryptocurrency as a means of payment makes blockchain-related threats a fertile field. New protocols emerge with a need for a secure and private network based on blockchain and peer-to-peer communications, which eases the distribution and diverse usage of new malware based on these obscure protocols. This comes tied to the increasing use of modern programming languages like Go and Rust, languages that are chosen by these blockchain-based protocols to develop their SDKs, and we expect the trend of using these languages for malware development to continue.

5. Expansion of Chinese-speaking crimeware worldwide

   
   We saw several crimeware families of Chinese origin covertly emerge, targeting users outside their common area of attack, Asia, and switching to users in Europe and LATAM, mainly through Android banking Trojans and phishing campaigns that aim to clone credit cards. But we also saw some advanced attacks such as DinodasRAT. We expect an even more noticeable expansion of Chinese crimeware to other countries and markets as it explores new opportunities and increases the frequency of its attacks.

6. Synthetic data poisoning through ransomware

   
   Ransomware will turn to modifying victims’ data or injecting invalid data into targeted infrastructures, rather than merely encrypting. This “data poisoning” technique will make it more difficult or impossible to recover businesses’ original data assets even after decryption.

7. Quantum-resistant ransomware

   
   Advanced ransomware groups will start using post-quantum cryptography as quantum computing evolves. The encryption techniques used by this “quantum-proof” ransomware will be made to resist decryption attempts from both classical and quantum computers, making it nearly impossible for victims to decrypt their data without having to pay a ransom.

8. Weaponization of regulatory compliance by ransomware attackers

   
   Attackers will examine a targeted company’s regulatory responsibilities and purposefully encrypt or alter data in ways that may result in serious compliance violations. The attackers will then add additional financial and legal pressure to the extortion scheme by threatening to alert regulators if their demands are not met.

9. Ransomware-as-a-service proliferation

   
   The RaaS model will continue to make it easier for cybercriminals to design and execute attacks. Less experienced actors will be able to launch sophisticated attacks with kits as inexpensive as $40, increasing the number of incidents.

10. More AI and machine learning on the defense side

    
    Today, numerous cybersecurity solutions already leverage artificial intelligence to address common vulnerabilities, such as configuration errors, alert handling and more. In the future, we will see AI increasingly adopted in cyberdefense to accelerate anomaly detection, reduce the duration of analysis through predictive capabilities, automate response, and strengthen policies to counter emerging threats. AI will accelerate detection and bolster defenses against evolving threats. This shift is backed by a significant increase in real-time machine learning applications, which are reshaping cyberdefense by enhancing adaptability and reducing manual workloads. As threat actors also turn to AI, the stakes rise for defenders to evolve equally advanced, adaptive strategies.

11. Upsurge in financial cyberattacks targeting smartphones

    
    We see that while the number of attacks on PCs using traditional banking or financial malware is decreasing, financial cyberthreats for smartphones are on the rise: the global number of users who encountered mobile financial threats in 2024 increased twofold (by 102%) compared to 2023. We expect this number to grow further, capturing the attention of both malicious actors and potential victims.

securelist.com/ksb-financial-a…

If you think of Apple today, you probably think of an iPhone or a Mac. But the original Apple I was a simple PC board and required a little effort to start up a working system. [Artem] has an Apple I reproduction PCB, and decided to build it on camera so we could watch.

For the Apple I, the user supplied a keyboard and some transformers, so [Artem] had to search for suitable components. He wisely checks the PCB to make sure there are no shorts in the traces. From there, you can watch him build the machine, but be warned: even with speed ups and editing, the video is over an hour long.

If you want to jump to the mostly working device, try around the 57-minute mark. The machine has a basic ROM monitor and, of course, needs a monitor. There was a small problem with memory, but he eventually worked it out by inhibiting some extra RAM on the board. Troubleshooting is half of the battle getting something like this.

Want to look inside the clock generator chip? Or skip the PCB and just use an FPGA.

youtube.com/embed/XG5PeAzQp0w?…

hackaday.com/2024/11/14/buildi…

Il gruppo di hacker cinese Volt Typhoon ha iniziato a ripristinare la sua botnet KV, che era stata disattivata dalle forze dell’ordine alla fine del 2023. Secondo gli esperti il ​​gruppo attacca ora soprattutto i router Cisco e Netgear ormai obsoleti.

Chi ci sia dietro Volt Typhoon ancora non è chiaro in quanto i due schieramenti, Cina e USA, attribuiscono il gruppo all’altro Stato. Quello che è sicuro che si tratta di un gruppo di hacking “governativo” che si è infiltrato nelle infrastrutture critiche degli Stati Uniti e ha attaccato altre reti almeno nel 2021.

Secondo un rapporto Microsoft del 2023, gli attacchi di Volt Typhoon utilizzano botnet costituite da centinaia di router e altri dispositivi sparsi negli Stati Uniti per nascondere attività dannose ed eludere il rilevamento.

All’inizio del 2024, l’FBI ha annunciato di aver smantellato una grande botnet KV di proprietà di un gruppo di hacker e di aver ripulito i dispositivi compromessi dal malware Volt Typhoon. Secondo gli esperti di sicurezza informatica, gli hacker hanno tentato senza indugio di ripristinare l’infrastruttura distrutta, ma ciò non ha prodotto alcun risultato.

Come riferiscono ora gli esperti di securityScorecard, nonostante ciò Volt Typhoon è ancora attivo e sta facendo progressi nel ripristino della botnet KV. Il gruppo ora prende di mira i router Cisco e Netgear legacy e ha compromesso “un numero significativo di dispositivi” in appena un mese. Per l’hacking vengono utilizzati principalmente malware MIPS e web shell che trasmettono dati attraverso porte non standard, rendendo difficile il rilevamento della minaccia.

Secondo i ricercatori, l’attività degli hacker è ripresa nel settembre 2024 e il gruppo è tornato in azione con una nuova rete di dispositivi compromessi proveniente dall’Asia. Ora la botnet KV, che SecurityScorecard traccia come JDYFJ (a causa del certificato SSL autofirmato trovato sui dispositivi compromessi), prende di mira principalmente i dispositivi della serie Cisco RV320/325 e Netgear ProSafe.

È noto che in soli 37 giorni Volt Typhoon ha compromesso circa il 30% di tutti i dispositivi Cisco RV320/325 accessibili via Internet.

“Non sappiamo quale specifica vulnerabilità o errore venga sfruttato dagli aggressori. Tuttavia, poiché questi dispositivi hanno raggiunto la fine della loro vita utile, gli aggiornamenti non vengono più rilasciati”, hanno affermato i ricercatori. L’obiettivo principale della rinascita della botnet KV sembra essere quello di mascherare attività dannose instradando il traffico attraverso un’infrastruttura legittima compromessa.

Per creare una rete più ampia e stabile, i server di controllo della botnet si trovano in Digital Ocean, Quadranet e Vultr. Si noti inoltre che Volt Typhoon utilizza un dispositivo VPN compromesso situato sull’isola della Nuova Caledonia nel Pacifico come ponte che instrada il traffico tra la regione Asia-Pacifico e le Americhe, fungendo da hub nascosto.

Per proteggersi dagli attacchi Volt Typhoon, gli esperti consigliano di sostituire i dispositivi più vecchi e non supportati con modelli più recenti, aggiornare il firmware all’ultima versione, posizionarli dietro firewall, non consentire l’accesso remoto ai pannelli di amministrazione su Internet e modificare le credenziali di amministratore predefinite.

L'articolo Volt Typhoon è Tornato: Gli Hacker Ripristinano la Botnet KV e Puntano ai Router Obsoleti proviene da il blog della sicurezza informatica.

Palo Alto Networks ha scoperto una serie di vulnerabilità nella piattaforma Vertex AI di Google che potrebbero consentire agli aggressori di rubare preziosi modelli di machine learning (ML) e large Language Model (LLM) sviluppati internamente dalle aziende. Queste vulnerabilità includono la possibilità di escalation di privilegi ed esfiltrazione di dati attraverso modelli infetti.

La prima vulnerabilità riguardava l’escalation dei privilegi tramite processi personalizzati nelle pipeline Vertex AI. Utilizzando questi lavori, i ricercatori sono stati in grado di accedere a dati a cui non avrebbero dovuto avere accesso, inclusi l’archiviazione nel cloud e le tabelle BigQuery. Gli aggressori potrebbero trarne vantaggio per scaricare dati e modelli sensibili.

La seconda vulnerabilità si è rivelata ancora più pericolosa. I ricercatori hanno dimostrato che quando un modello infetto viene caricato da un archivio pubblico sulla piattaforma Vertex AI, può accedere a tutti gli altri modelli già distribuiti nell’ambiente. Ciò consente agli aggressori di copiare e scaricare modelli e livelli LLM personalizzati, che possono contenere informazioni univoche e sensibili.

Durante lo studio, gli esperti hanno creato il proprio modello infetto e lo hanno distribuito nell’ambiente di test Vertex AI. Sono quindi riusciti ad accedere all’account di servizio della piattaforma e a rubare altri modelli, inclusi i file dell’adattatore utilizzati per configurare LLM. Questi file sono elementi chiave contenenti pesi che possono modificare in modo significativo il comportamento del modello sottostante.

Lo studio ha rilevato che l’implementazione anche di un solo modello senza test approfonditi può portare alla fuga di proprietà intellettuale e dati aziendali. Per evitare tali minacce, i ricercatori raccomandano di isolare gli ambienti di test e di produzione e di controllare rigorosamente l’accesso all’implementazione di nuovi modelli.

Google ha risposto rapidamente alle vulnerabilità scoperte dai ricercatori, rilasciando aggiornamenti e implementando correzioni che hanno eliminato potenziali percorsi di attacco. Ora la piattaforma Vertex AI è diventata molto più sicura, riducendo al minimo i rischi di accesso non autorizzato e perdita di dati.

Qualsiasi modello di intelligenza artificiale vulnerabile può diventare un cavallo di Troia, consentendo l’accesso all’intera infrastruttura aziendale. In un’era in cui i dati sono la nostra arma più potente, anche un solo momento mancato in termini di sicurezza può costare milioni di dollari. Solo un controllo rigoroso e una verifica costante di ogni fase di implementazione possono proteggere le risorse intellettuali dalla fuga di informazioni.

L'articolo Come Rubare Un Modello AI di Google? Attraverso un Trojan AI! proviene da il blog della sicurezza informatica.

Il presidente di Microsoft, Brad Smith, presenterà un progetto basato sull’intelligenza artificiale e incentrato sulla Basilica di San Pietro durante una conferenza stampa in Vaticano l’11 novembre.

Questa iniziativa, intitolata “Basilica di San Pietro: esperienza potenziata dall’intelligenza artificiale”, è una collaborazione tra Microsoft e la Fabbrica di San Pietro, l’organizzazione responsabile della conservazione e della manutenzione della Basilica di San Pietro.

Da quando Smith ha lanciato il programma AI for Cultural Heritage di Microsoft nel 2019, l’azienda tecnologica ha lavorato a numerosi progetti che hanno fornito modalità arricchite digitalmente per esplorare arte, architettura e siti storici attraverso l’intelligenza artificiale.

Microsoft ha sviluppato il progetto Antica Olimpia in Grecia, che ha utilizzato l’intelligenza artificiale per ricostruire digitalmente il luogo di nascita dei Giochi Olimpici, offrendo un’esplorazione immersiva delle rovine.

Allo stesso modo, Microsoft ha stretto una partnership con Iconem per creare modelli digitali del Mont-Saint-Michel in Francia, utilizzando l’intelligenza artificiale e la modellazione 3D per catturare i dettagli intricati di questo luogo di pellegrinaggio cattolico vecchio di 1.000 anni.

Negli anni passati, anche altre aziende hanno fornito esperienze di realtà virtuale di chiese di importanza storica, tra cui una mostra immersiva in 3D della Chiesa del Santo Sepolcro chiamata “Tomba di Cristo” nel National Geographic Museum di Washington, DC

Il CEO di Microsoft Satya Nadella ha parlato di recente a Roma il 23 ottobre, dopo che l’azienda ha annunciato un investimento di 4,3 miliardi di euro (circa 4,64 miliardi di dollari) in Italia nei prossimi due anni per espandere il suo data center cloud iperscalabile e l’infrastruttura di intelligenza artificiale, che renderà la regione cloud italiana una delle più grandi regioni di data center Microsoft in Europa e un polo strategico per la diffusione dell’innovazione dell’intelligenza artificiale nel Mediterraneo.

Microsoft ha inoltre annunciato una collaborazione con il comune di Roma per sviluppare “Julia”, un assistente virtuale basato sull’intelligenza artificiale che aiuterà gli oltre 35 milioni di visitatori attesi nella capitale italiana per l’imminente Giubileo del 2025.

I pellegrini del Giubileo potranno porre a Julia, una guida virtuale della città, tramite WhatsApp domande sui siti di interesse culturale e suggerimenti su dove alloggiare e ristoranti dove gustare la cucina tipica romana e italiana.

L'articolo Microsoft Investe sul Vaticano e sull’italia: l’IA Trasformerà la Basilica di San Pietro! proviene da il blog della sicurezza informatica.

You might think that visualizing music with lasers would be a complicated and difficult affair. In fact, it’s remarkably simple if you want it to be, and [byte_thrasher] shows us just how easy it can be.

At heart, what you’re trying to do is make a laser trace out waveforms of the music you’re listening to, right? So you just need a way to move the laser’s beam along with the sound waves from whatever you’re listening to. You might be thinking about putting a laser on the head of a servo-operated platform fed movement instructions from a digital music file, but you’d be way over-complicating things. You already have something that moves with the music you play — a speaker!

[byte_thrasher’s] concept is simple. Get a Bluetooth speaker, and stick it in a bowl. Cover the bowl with a flexible membrane, like plastic wrap. Stick a small piece of mirror on the plastic. When you play music with the speaker, the mirror will vibrate and move in turn. All you then have to do is aim a safe laser in a safe direction such that it bounces off the mirror and projects on to a surface. Then, the laser will dance with your tunes, and it’ll probably look pretty cool!

We’ve seen some beautiful laser visual effects before, too. Just be careful and keep your power levels safe and your beams pointing where they should be.

put a bluetooth speaker in a bowl, cover the bowl with plastic wrap pulled taut, glue a shard of mirror to the plastic wrap, point a laser beam at the mirror so that it bounces off towards the ceiling, play music, enjoy pic.twitter.com/Vs6lBJihCg

— avi (@byte_thrasher) November 9, 2024

hackaday.com/2024/11/13/laser-…

Gli specialisti Doctor Web riferiscono di aver scoperto nel Google Play Store un altro lotto di applicazioni infette da malware della famiglia FakeApp. Va notato che in totale le applicazioni sono state scaricate almeno 2.160.000 volte e uno dei campioni di malware utilizzava il DNS per la comunicazione nascosta con i server di controllo.

I ricercatori ricordano che l’obiettivo principale di molti trojan Android.FakeApp (anche solo FakeApp) è quello di seguire collegamenti a vari siti e che, da un punto di vista tecnico, questi malware sono piuttosto primitivi. Pertanto, una volta avviati, ricevono un comando per aprire un determinato URL. Gli utenti che li hanno installati, invece di vedere il programma del gioco previsto, vedono sugli schermi dei propri dispositivi i contenuti di un sito indesiderato.

Particolare attenzione è stata rivolta al campione Android.FakeApp.1669 che si distingue per l’utilizzo di una libreria dnsjava modificata, con l’aiuto della quale il trojan riceve una configurazione da un server DNS dannoso contenente un link di destinazione. Si noti che la configurazione viene ricevuta solo quando si è connessi a Internet tramite determinati provider (ad esempio Internet mobile). In altre circostanze, il Trojan non si manifesta in alcun modo.

Secondo i ricercatori, questa variante di FakeApp presenta numerose modifiche che si mascherano da varie applicazioni e vengono distribuite anche tramite il negozio ufficiale Google Play. Le varianti conosciute del trojan sono state scaricate dallo store ufficiale di Android almeno 2.160.000 volte.

Di seguito sono elencate solo alcune varianti di Android.FakeApp.1669 identificate dagli analisti Doctor Web su Google Play. Va notato che i ricercatori hanno trovato ancora più applicazioni infette, ma alcune di esse sono già state cancellate.

Una volta avviata, questa versione di FakeApp effettua una query DNS al server di comando e controllo per ottenere il record TXT associato al nome di dominio di destinazione. In risposta, il server fornisce questo record al Trojan solo se il dispositivo infetto è collegato alla rete tramite il provider preso di mira. Per inviare richieste DNS, il Trojan utilizza il codice modificato della libreria open source dnsjava.

Tali record TXT solitamente contengono informazioni sul dominio e alcune altre informazioni tecniche, ma in questo caso contengono la configurazione codificata per l’esecuzione del malware.

Tutte le modifiche del Trojan sono legate a nomi di dominio specifici, che consentono al server DNS di trasferire la propria configurazione a ciascuno di essi. Inoltre, i nomi dei sottodomini dei domini presi di mira sono univoci per ciascun dispositivo infetto. Codificano i dati sul dispositivo:

• modello e marca del dispositivo;
• dimensioni dello schermo;
• identificatore (composto da due numeri: il primo è l’ora di installazione dell’applicazione Trojan, il secondo è un numero casuale);
• se la batteria si sta caricando e qual è la percentuale attuale della sua carica;
• se le impostazioni dello sviluppatore sono abilitate.

Ad esempio, una variante del Trojan dell’applicazione Goal Achievement Planner, durante l’analisi, ha richiesto al server un record TXT per il dominio 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com, una variante dell’applicazione Split it: Checks and Tips – un record per il dominio 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital e l’opzione da DessertDreams Recipes è per il dominio 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com.

Per decrittografare il contenuto di questi record TXT, è necessario seguire i seguenti passaggi: invertire la stringa, decodificare Base64, gzip e dividere in righe al carattere ÷.

Il risultato saranno:

• url hxxps[:]//goalachievplan[.]pro
• af_id DF3DgrCPUNxkkx7eiStQ6E
• os_id f109ec36-c6a8-481c-a8ff-3ac6b6131954

Cioè, il risultato è un collegamento che il Trojan carica nel WebView all’interno della sua finestra, sopra l’interfaccia principale. Il collegamento porta a un sito che inizia una lunga catena di reindirizzamenti, al termine della quale si trova il sito del casinò online.

Di conseguenza, il malware si trasforma effettivamente in un’applicazione web che visualizza il contenuto del sito scaricato e non la funzionalità originariamente indicata nella pagina dell’applicazione su Google Play.

L'articolo Nuovo Allarme Malware su Google Play: 2 Milioni di Download Infetti da FakeApp! proviene da il blog della sicurezza informatica.