Salta al contenuto principale


Julia Deck – Proprietà privata
freezonemagazine.com/news/juli…
In libreria dal 9 maggio 2025 Il trasferimento in un moderno ecoquartiere, i nuovi vicini, un gatto. Il romanzo del vicinato: bassezze e voyeurismo, tutto un programma. Un romanzo che tocca tutti con la sua ironia e cinismo e che attraverso uno stile limpido e spiazzante ci restituisce la fotografia di una società frammentata. E […]
L'articolo Julia Deck – Proprietà privata proviene da FREE ZONE M


Civil society files DSA complaint against Meta for toxic, profiling-fueled feeds


Civil society organisations Bits of Freedom, Convocation Design + Research, European Digital Rights (EDRi), and Gesellschaft für Freiheitsrechte (GFF) are filing a complaint against Meta for violating the Digital Services Act (DSA).

The post Civil society files DSA complaint against Meta for toxic, profiling-fueled feeds appeared first on European Digital Rights (EDRi).

Jure Repinc reshared this.



APT cinese hackera 12 Paesi con un solo bug di IVANTI VPN. Ecco come hanno fatto


Per settimane, gli attaccanti sono riusciti a mantenere un accesso nascosto alle reti compromesse, sottraendo informazioni sensibili ed eludendo i sistemi di rilevamento grazie a un’infrastruttura di comando e controllo (C2) multistrato e all’impiego di strumenti avanzati per la cancellazione dei log.

Queste attività fanno parte di una campagna partita alla fine di marzo 2025, che sfrutta due vulnerabilità critiche – CVE-2025-0282 e CVE-2025-22457 – entrambe falle di tipo stack-based buffer overflow con un punteggio CVSS massimo di 9.0. Le falle sono state utilizzate per distribuire SPAWNCHIMERA, una suite malware modulare progettata per ottenere accesso remoto e persistente ai dispositivi compromessi.

Secondo un rapporto diffuso da TeamT5 dietro l’attacco ci sarebbe un gruppo APT legato agli interessi statali cinesi, che ha colpito organizzazioni attive in 12 paesi e in 20 settori industriali, sfruttando le falle nei dispositivi Ivanti Connect Secure VPN.

Il gruppo APT, valutato anche da Mandiant e monitorato come UNC5221 e legato agli interessi dello stato cinese, ha sfruttato le vulnerabilità di Ivanti per ottenere l’esecuzione di codice remoto non autenticato (RCE).

Una volta all’interno, gli aggressori hanno implementato SPAWNCHIMERA, un ecosistema malware modulare progettato specificamente per le appliance Ivanti. I componenti chiave includono:

  • SPAWNANT : un programma di installazione stealth che aggira i controlli di integrità;
  • SPAWNMOLE : un proxy SOCKS5 per il tunneling del traffico;
  • SPAWNSNAIL : una backdoor SSH per l’accesso persistente;
  • SPAWNSLOTH : uno strumento di cancellazione dei registri per eliminare le prove forensi.

La capacità di patching dinamico del malware consente di modificare i componenti Ivanti vulnerabili nella memoria, garantendone lo sfruttamento continuo anche dopo l’applicazione delle patch.

Gli analisti della sicurezza di Rapid7 hanno confermato la sfruttabilità delle vulnerabilità, osservando che CVE-2025-22457 inizialmente si presentava come un bug di negazione del servizio a basso rischio, ma è stato successivamente stato sfruttato come una potente RCE. TeamT5 esorta le organizzazioni interessate a:

  1. Applicare immediatamente le patch della versione 22.7R2.5 di Ivanti;
  2. Eseguire analisi forensi complete della rete per identificare malware dormienti;
  3. Reimposta i dispositivi VPN e revoca le credenziali esposte durante le violazioni.

La campagna sottolinea i rischi persistenti dei dispositivi edge di rete non aggiornati, in particolare i gateway VPN. Poiché gli APT cinesi prendono sempre più di mira i sistemi legacy, il CISA ha imposto alle agenzie federali di correggere le vulnerabilità di Ivanti entro il 15 gennaio 2025, una scadenza che molti hanno mancato, aggravando la crisi.

L'articolo APT cinese hackera 12 Paesi con un solo bug di IVANTI VPN. Ecco come hanno fatto proviene da il blog della sicurezza informatica.





This Potato Virtual Assistant is Fully Baked


GLaDOS Potato Assistant

There are a number of reasons you might want to build your own smart speaker virtual assistant. Usually, getting your weather forecast from a snarky, malicious AI potato isn’t one of them, unless you’re a huge Portal fan like [Binh Pham].

[Binh Pham] built the potato incarnation of GLaDOS from the Portal 2 video game with the help of a ReSpeaker Light kit, an ESP32-based board designed for speech recognition and voice control, and as an interface for home assistant running on a Raspberry Pi.

He resisted the temptation to use a real potato as an enclosure and wisely opted instead to print one from a 3D file he found on Thingiverse of the original GLaDOS potato. Providing the assistant with the iconic synthetic voice of GLaDOS was a matter of repackaging an existing voice model for use with Home Assistant.

Of course all of this attention to detail would be for not if you had to refer to the assistant as “Google” or “Alexa” to get its attention. A bit of custom modelling and on-device wake word detection, and the cyborg tuber was ready to switch lights on and off with it’s signature sinister wit.

We’ve seen a number of projects that brought Portal objects to life for fans of the franchise to enjoy, even an assistant based on another version of the GLaDOS the character. This one adds a dimension of absurdity to the collection.

youtube.com/embed/cL3-J8UTgvc?…


hackaday.com/2025/04/15/this-p…



Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari


Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day per firewall Fortinet, che permetterebbe l’accesso completo e non autenticato ai dispositivi vulnerabili.

Il post è comparso sul forum underground exploit.in nella sezione dedicata a malware e exploit commerciali. L’attacco di tipo Unauthenticated Remote Code Execution (RCE) consentirebbe l’accesso completo ai dispositivi vulnerabili senza la necessità di autenticazione. Il prezzo per questo exploit? 6.500 dollari.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’annuncio, estremamente dettagliato, elenca i file e le informazioni che il tool in vendita sarebbe in grado di estrarre:

  • Account VPN e GUI (file local_users.json)
  • Credenziali e permessi degli amministratori (admin_accounts.json)
  • Stato e configurazione del 2FA (two_factor.json)
  • Tutte le policy firewall, NAT, VIP, indirizzi ecc
  • Configurazioni SSL-VPN e IPsec, incluse sessioni attive
  • Backup completi del sistema (config_backup.conf, backup_full)
  • Routing, tabelle ARP, log di sistema, certificati e script CLI
  • Certificati SSL utilizzati nei vari contesti dei firewall
  • Licenze per le subscription Fortiguard

L’autore sottolinea che non sono necessarie credenziali per sfruttare l’exploit e ottenere il pieno controllo del dispositivo. Al momento, non esiste una conferma ufficiale da parte di Fortinet sull’autenticità dello zero-day, ma la natura tecnica del post e il linguaggio utilizzato fanno ipotizzare che si tratti di una minaccia concreta.

Il contesto in cui si presenta questa nuova minaccia per Fortinet


Il 10 Aprile (qualche giorno prima dell’apparsa del post sullo 0-Day) Fortinet, sul blog ufficiale del PSIRT, ha pubblicato un approfondimento relativo all’analisi di un attacco ad alcuni dispositivi vulnerabili alle CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 (già note e patchate).

Nel post ufficiale Fortinet descrive come gli hacker, dopo aver sfruttato le vulnerabilità dei dispositivi non aggiornati, abbiamo creato un link simbolico, che collega il filesystem dell’utente con il filesystem di root del firewall, in una cartella utilizzata per servire i file di lingua per il portale di accesso SSL-VPN.

Con questa tecnica i threat actor hanno potuto mantenere un’accesso in read-only ai firewall compromessi sebbene questi fossero stati aggiornati. L’offuscamento del link simbolico nel filesytem dell’utente ha impedito inizialmente la rilevazione di queste modifiche.

Fortinet è riuscita successivamente a mitigare l’accaduto, aggiornando le proprie firme Antivirus/IPS per individuare e pulire i link sospetti. Apportando modifiche alle ultime versioni per rilevare e rimuovere il collegamento simbolico e garantire che il portale SSL-VPN serva solo i file previsti.

Fortinet ha rilasciato patch e mitigazioni per impedire l’abuso di queste tecniche e consiglia l’aggiornamento immediato a:

  • FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16


In allarme tutti i CERT e le agenzie di cyber security


Il Computer Emergency Response Team francese (CERT-FR) ha rivelato, nel suo bollettino di sicurezza, che questa tecnica è stata utilizzata in una massiccia ondata di attacchi a partire dall’inizio del 2023. Ed invita tutti gli amministratori di sistema ad aggiornare i propri dispositivi e porre in atto tutte le mitigazioni indicate.

Il CISA americano ha invitato gli operatori di rete a segnalare eventuali incidenti e attività anomale legate al report di Fortinet al proprio Centro Operativo attivo 24/7.

Il CSIRT Italiano pubblica un bollettino relativo alle tecniche di post-sfruttamento e invita all’aggiornamento immediato dei dispositivi.

Abbiamo condotto una ricerca su shadowserver per renderci conto dei numeri dei dispostivi ad oggi vulnerabili alle 3 CVE in esame. Eccetto la CVE più “anziana” che conta pochi dispositivi, le altre due riportano numeri sull’ordine delle migliaia.

Conclusione


Il presunto zero-day in vendita rappresenta una minaccia attuale e potenzialmente devastante, mentre l’analisi di Fortinet dimostra che i dispositivi già compromessi possono contenere meccanismi di controllo persistente invisibili, anche a seguito di aggiornamenti.

Le due vicende non sono direttamente collegate, ma condividono un comune denominatore: la crescente attrattiva dei dispositivi perimetrali FortiGate come obiettivo critico per attacchi avanzati.

Che si tratti dunque di uno zero-day sconosciuto o di vulnerabilità già note, il pattern è chiaro: i firewall non sono più solo dispositivi di protezione, ma bersagli ad alto valore strategico.

Fonti


L'articolo Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari proviene da il blog della sicurezza informatica.



PODCAST. Vittorio Arrigoni: Guernica in Gaza


@Notizie dall'Italia e dal mondo
Sara Cimmino legge un articolo scritto da Vittorio Arrigoni durante l'offensiva israeliana Piombo Fuso contro Gaza
L'articolo PODCAST. Vittorio Arrigoni: Guernica in Gaza proviene da Pagine Esteri.

pagineesteri.it/2025/04/15/pod…



Italian readiness, in cosa consiste l’idea di una forza di reazione rapida nazionale

@Notizie dall'Italia e dal mondo

Nel quadro della discussione annuale sulle missioni internazionali, la Camera dei deputati ha avviato l’esame della relazione congiunta delle Commissioni Esteri e Difesa sulla partecipazione dell’Italia alle operazioni militari all’estero per il 2025.



Trump invia le truppe a Panama “contro l’influenza cinese”, proteste nel paese


@Notizie dall'Italia e dal mondo
Dopo la firma di un trattato con il governo di Panama, Trump invia truppe in tre basi vicine al Canale. Nel paese esplodono proteste contro quella "l'invasione mascherata" mentre si accende la disputa con Pechino
L'articolo Trump invia le truppe a Panama “contro l’influenza cinese”,



Audit del DPO al CISO: trasparenza, controllo e governance del rischio


@Informatica (Italy e non Italy 😁)
Nel quadro evolutivo della compliance normativa e della cyber security, l’audit svolto dal DPO nei confronti del CISO rappresenta uno dei momenti più significativi per dimostrare, nella prassi, il principio di accountability. Ecco una guida



Il mio personalissimo parere sulla firme apposte dal fotografo nelle fotografie.

1) Da un punto di vista del copyright vale come la sabbia nel deserto.

2) Se metti la firma perché credi che l'immagine abbia un altissimo valore, probabilmente l'immagine non ha un valore e/o non ha senso mettere una firma per scoraggiare un'eventuale uso non autorizzato.

3) Se sei davvero richiesto e/o famoso non hai bisogno di condividere le foto fuori dal tuo controllo, oppure non c'è bisogno della firma perché si sappia che è tua (o non ti importa più, perché l'immagine vive di vita propria, diffusa da siti specializzati, libri, mostre, ecc).

La penso più o meno allo stesso modo per il watermark: a meno che non sia apposto da un sito su cui la tua foto è in vendita, non ha molto senso secondo me, specie in tempi di IA.

Cosa ne pensate? C'è qualcosa che mi sfugge e mi sono fatto un'idea sbagliata?

Se la usate, perché mettete la vostra firma sulle foto che sviluppate?

#fotografia #fotografi #foto #copyright

Unknown parent

@Andre123 ma anche in quel caso non basta il nome? Perché la firma?




Attacco al sistema SCADA di un hotel a Capri: OverFlame e Sector16 ottengono pieno accesso


Il gruppo OverFlame, in collaborazione con il team Sector16, ha recentemente annunciato di aver ottenuto il pieno accesso al sistema di gestione SCADA di una azienda italiana, situata nella celebre isola di Capri. Attraverso il sistema compromesso, i gruppi sono riusciti a interferire con il funzionamento di riscaldamento e condizionamento degli ambienti.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Post pubblicato da overflame all’interno dei suoi canali telegram
È importante sottolineare che, come dichiarato dagli stessi attori, l’accesso al sistema è avvenuto legalmente, tramite un accordo diretto con il soggetto proprietario della rete. Questo fa pensare a un’attività di red teaming o di pen test autorizzato, piuttosto che a un’azione malevola.
Post dove si afferma che l’accesso al sistema è avvenuto legalmente.
Gli ambienti SCADA, tradizionalmente utilizzati in ambito industriale, trovano applicazione anche nella gestione delle infrastrutture alberghiere di alto livello. La sicurezza di questi sistemi, spesso trascurata, rappresenta una falla critica che può impattare direttamente sul comfort degli ospiti, sulla reputazione e sui costi operativi.

Questo articolo è stato redatto attraverso l’utilizzo della piattaforma Recorded Future, partner strategico di Red Hot Cyber e leader nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

Le implicazioni


  • Dimostrazione pratica di vulnerabilità nelle infrastrutture critiche anche in ambiti non industriali.
  • Importanza crescente dei test di sicurezza proattivi su sistemi SCADA.
  • Maggiore consapevolezza sulla necessità di proteggere anche settori come l’hospitality, spesso meno preparati contro minacce cyber.


Pannello scada del sistema violato

Conclusioni


Questo evento sottolinea ancora una volta quanto i sistemi SCADA e di building management siano spesso esposti a vulnerabilità critiche, specialmente in settori come l’ospitalità di lusso.
Anche quando l’accesso avviene in modo concordato, resta evidente l’importanza di investire nella protezione delle infrastrutture digitali, adottando strategie di cybersecurity proattive e programmi di monitoraggio continuo.

Gli hotel e i resort, in particolare, devono comprendere che una violazione non si traduce solo in problemi tecnici, ma può anche avere gravi ripercussioni sull’immagine e sulla fiducia dei clienti.
Affidarsi a team di esperti per condurre test di penetrazione regolari può fare la differenza tra una vulnerabilità gestita in sicurezza e un disastro pubblico.

Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
Altro pannello scada del sistema violato

L'articolo Attacco al sistema SCADA di un hotel a Capri: OverFlame e Sector16 ottengono pieno accesso proviene da il blog della sicurezza informatica.



Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$


Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-commerce attivo nel settore della telefonia che, secondo i dati condivisi, ha generato vendite per oltre 11 milioni di euro.

L’inserzione è concisa ma chiarissima:


“Escrow accepted, Access type: Magento web access, priv: admin, Italy shop, total selles: €11,006,570.52, admin access, Orders: 42786, Category: Phone store.
Price: 500$”

La richiesta? Solo 500 dollari per un accesso amministrativo completo alla piattaforma Magento del sito. Una cifra irrisoria se paragonata al potenziale valore dell’accesso in termini di impatto commerciale e reputazionale.

I dati esposti


Oltre all’indirizzo web del portale, l’annuncio fornisce dettagli che lasciano poco spazio a dubbi:

  • Piattaforma: Magento
  • Privilegi: accesso admin
  • Ordini elaborati: 42.786
  • Vendite totali: €11.006.570,52
  • Settore: Telefonia

Se confermato, si tratterebbe di un accesso critico, in grado di compromettere completamente il backend del sito: gestione ordini, dati clienti, catalogo prodotti e persino l’interfaccia di pagamento.

Come avviene la compromissione?


Magento, pur essendo una piattaforma potente e diffusa nel mondo e-commerce, è anche notoriamente bersaglio di attacchi informatici. Le principali vulnerabilità sfruttate negli ultimi anni includono:

  • Exploit di versioni non aggiornate
  • Plugin o temi compromessi
  • Credential stuffing
  • Backdoor PHP iniettate via upload

Senza una corretta postura di sicurezza (WAF, aggiornamenti regolari, MFA per accessi amministrativi), l’intera infrastruttura può diventare un bersaglio facile.

I rischi concreti


L’accesso admin a un Magento compromesso apre le porte a numerosi scenari:

  • Esfiltrazione dei dati dei clienti (nome, indirizzo, email, telefono e storici acquisti)
  • Modifica delle impostazioni di pagamento, ad esempio per reindirizzare i pagamenti su conti controllati dagli attaccanti
  • Installazione di malware o skimmer lato client (Magecart-style attack)
  • Vendita del database o uso per phishing mirati

L’offerta vista su Exploit.in non è un caso isolato, ma l’ennesimo segnale di un mercato nero digitale florido, in cui accessi privilegiati si scambiano al pari di merci qualsiasi. Dall’inzio del 2025 il numero di accessi in vendita a siti basati su tecnologia magento sono stati 36.

Il ruolo della Cyber Threat Intelligence


In questo contesto, la Cyber Threat Intelligence (CTI) può giocare un ruolo chiave nella prevenzione e mitigazione di attacchi come quello ipotizzato. Un programma di CTI ben strutturato permette di:

  • Monitorare in tempo reale i forum e marketplace del dark web, come Exploit.in, per individuare inserzioni sospette legate al proprio brand o dominio.
  • Identificare precocemente segnali di compromissione (IOC, tecniche TTP, exploit zero-day legati alla piattaforma in uso).
  • Allertare i team interni per attivare contromisure immediate prima che l’accesso venga venduto o sfruttato.

Un dato particolarmente rilevante emerso da analisi CTI su dump di credenziali provenienti da infostealer è la presenza di un accesso amministrativo riconducibile al sito in questione, su un archivio condiviso su BreachForum a metà dicembre 2024.

Non si tratta quindi solo di raccogliere dati, ma di trasformarli in intelligence azionabile, utile a ridurre la finestra di esposizione e a proteggere asset critici in ambienti ad alta esposizione come l’e-commerce.

Considerazioni finali


Al momento, non è noto se il sito in oggetto abbia rilevato o mitigato la violazione. Il sito è ancora online e funzionante. Tuttavia, se la vendita andasse a buon fine, le conseguenze potrebbero essere devastanti per l’azienda e i suoi clienti.

Nel frattempo, la vendita dell’accesso rimane pubblica, visibile a chiunque frequenti il forum. E il prezzo – 500$ – è il segnale più preoccupante: le barriere all’ingresso per compromettere aziende italiane non sono mai state così basse.

L'articolo Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$ proviene da il blog della sicurezza informatica.



L’Operazione Endgame Continua: colpo duro ai clienti della botnet Smokeloader. Scattano gli arresti


A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che l’operazione Endgame è stata condotta l’anno scorso e vi hanno preso parte rappresentanti delle forze di polizia di Germania, Stati Uniti, Gran Bretagna, Francia, Danimarca e Paesi Bassi.

Inoltre, esperti di Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD hanno fornito informazioni operative alle autorità, condividendo con le forze dell’ordine informazioni sull’infrastruttura della botnet e sul funzionamento interno del malware.

All’epoca, fu segnalato che erano stati sequestrati più di 100 server utilizzati dai principali downloader di malware, tra cui IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC. Tali dropper vengono utilizzati per ottenere l’accesso iniziale ai dispositivi delle vittime e per distribuire payload aggiuntivi.

In un nuovo comunicato stampa pubblicato questa settimana dall’Europol si afferma che l’operazione è in corso e che le forze dell’ordine stanno analizzando i dati provenienti dai server sequestrati e rintracciando i client del malware in questione.

Gli investigatori affermano che Smokeloader era gestito da un individuo noto come Superstar, che offriva la sua botnet ad altri aggressori come servizio a pagamento per l’installazione, al fine di ottenere l’accesso ai computer delle vittime. “A seguito di una serie di azioni coordinate, i clienti della botnet Smokeloader, gestita dall’aggressore noto come Superstar, hanno dovuto affrontare conseguenze quali detenzioni, perquisizioni domiciliari, mandati di arresto e colloqui preventivi”, ha affermato Europol.

Si dice che Smokeloader sia stato utilizzato anche per un’ampia gamma di reati informatici, dall’impiego di ransomware all’esecuzione di miner, fino all’accesso alle webcam e all’intercettazione delle sequenze di tasti premuti sui computer delle vittime.

Un database sequestrato durante l’operazione Endgame conteneva i dettagli dei clienti di Smokeloader, consentendo alla polizia di identificare gli hacker collegando i loro nickname alle identità reali. Si è notato che alcuni degli indagati hanno accettato di collaborare con le forze dell’ordine e hanno consentito che venissero esaminate le prove digitali presenti sui loro dispositivi personali. Molti di loro rivendevano i servizi di Smokeloader con un sovrapprezzo.

Mentre l’operazione prosegue, Europol ha creato un sito web dedicato per pubblicare le ultime notizie a riguardo. L’Europol ha inoltre pubblicato sul suo sito web una serie di video animati che mostrano le attività degli agenti delle forze dell’ordine e il modo in cui rintracciano i clienti e i partner di Smokeloader.

L'articolo L’Operazione Endgame Continua: colpo duro ai clienti della botnet Smokeloader. Scattano gli arresti proviene da il blog della sicurezza informatica.



Building A DIY Tornado Tower


A tornado can be an awe-inspiring sight, but it can also flip your car, trash your house, and otherwise injure you with flying debris. If you’d like to look at swirling air currents in a safer context, you might appreciate this tornado tower build from [Gary Boyd].

[Gary]’s build was inspired by museum demonstrations and the tornado machine designs of [Harald Edens]. His build generates a vortex that spans 1 meter tall in a semi-open cylindrical chamber. A fan in the top of the device sucks in air from the chamber, and exhausts it through a vertical column of holes in the wall of the cylinder. This creates a vortex in the air, though it’s not something you can see on its own. To visualize the flow, the cylindrical chamber is also fitted with an ultrasonic mist generator in the base. The vortex in the chamber is able to pick up this mist, and it can be seen swirling upwards as it is sucked towards the fan at the top.

It’s a nice educational build, and one that’s as nice to look at as it is to study. It produces a thick white vortex that we’re sure someone could turn into an admirable lamp or clock or something, this being Hackaday, after all. In any case, vortexes are well worth your study. If you’re cooking up neat projects with this physical principle, you should absolutely let us know!


hackaday.com/2025/04/14/buildi…



Plasmonic Modulators Directly Convert Terahertz Waves to Optical Signals


A major bottleneck with high-frequency wireless communications is the conversion from radio frequencies to optical signals and vice versa. This is performed by an electro-optic modulator (EOM), which generally are limited to GHz-level signals. To reach THz speeds, a new approach was needed, which researchers at ETH Zurich in Switzerland claim to have found in the form of a plasmonic phase modulator.

Although sounding like something from a Star Trek episode, plasmonics is a very real field, which involves the interaction between optical frequencies along metal-dielectric interfaces. The original 2015 paper by [Yannick Salamin] et al. as published in Nano Letters provides the foundations of the achievement, with the recent paper in Optica by [Yannik Horst] et al. covering the THz plasmonic EOM demonstration.

The demonstrated prototype can achieve 1.14 THz, though signal degradation begins to occur around 1 THz. This is achieved by using plasmons (quanta of electron oscillators) generated on the gold surface, who affect the optical beam as it passes small slots in the gold surface that contain a nonlinear organic electro optic material that ‘writes’ the original wireless signal onto the optical beam.


hackaday.com/2025/04/14/plasmo…



Elastic Bands Enable Touchable Volumetric Display


A man is looking at a volumetric display while using one finger to interact with it. Two roughly-spherical blue shapes are visible in the display, and he is moving his index finger toward one of them.

Amazing as volumetric displays are, they have one major drawback: interacting with them is complicated. A 3D mouse is nice, but unless you’ve done a lot of CAD work, it’s a bit unintuitive. Researchers from the Public University of Navarra, however, have developed a touchable volumetric display, bringing touchscreen-like interactions to the third dimension (preprint paper).

At the core, this is a swept-volume volumetric display: a light-diffusing screen oscillates along one axis, while from below a projector displays cross-sections of the scene in synchrony with the position of the screen. These researchers replaced the normal screen with six strips of elastic material. The finger of someone touching the display deforms one or more of the strips, allowing the touch to be detected, while also not damaging the display.

The actual hardware is surprisingly hacker-friendly: for the screen material, the researchers settled on elastic bands intended for clothing, and two modified subwoofers drove the screen’s oscillation. Indeed, some aspects of the design actually cite this Hackaday article. While the citation misattributes the design, we’re glad to see a hacker inspiring professional research.) The most exotic component is a very high-speed projector (on the order of 3,000 fps), but the previously-cited project deals with this by hacking a DLP projector, as does another project we’ve covered.

While interacting with the display does introduce some optical distortions, we think the video below speaks for itself. If you’re interested in other volumetric displays, check out this project, which displays images with a levitating styrofoam bead.

youtube.com/embed/4wwKOXxX9Ck?…

[Thanks to Xavi for the tip!]


hackaday.com/2025/04/14/elasti…



Agcom parla di Cdn ma cerca risorse per le telco, cosa cela l’ultima mossa dell’Autorità. Le ultime mosse dell’Agcom sulla regolamentazione delle Content Delivery Network

Il dibattito sulla regolamentazione delle Content Delivery Network (CDN) è entrato nel vivo. L’AGCOM ha lanciato una consultazione pubblica per valutare l’estensione dell’autorizzazione generale, prevista dal Codice europeo delle comunicazioni elettroniche (EECC), anche a chi gestisce o possiede infrastrutture CDN sul territorio italiano. Una mossa che, pur motivata da esigenze di equità e controllo, rischia di aprire un nuovo fronte di scontro tra telco e big tech.

startmag.it/innovazione/agcom-…

@Informatica (Italy e non Italy 😁)

reshared this




Primissimo assemblaggio PC della mia vita: riuscito alla grande 💪


ESP32-Powered Clock Brings Aviation Style To Your Desk


There’s something cool about the visual design language used in the aviation world. You probably don’t get much exposure to it if you’re not regularly flying a plane, but there are other ways you can bring it into your life. A great example would be building an aviation-themed clock, like this stylish timepiece from [oliverb.]

The electronic heart of the build is an ESP32. This wireless-capable microcontroller is a popular choice for clock builds these days. This is because it can contact network time servers out of the box, which allows you to build an incredibly capable and accurate clock without any additional parts. No real-time-clock needed—just have the ESP32 buzz the Internet for an accurate update on the regular!

As for the display itself, three gauges show hours, minutes, and seconds on aviation-like gauges. They’re 3D-printed, which means you can build them from scratch. That’s a touch easier than having to go out and source actual surplus aviation hardware. Each gauge is driven by a NEMA17 stepper motor. There’s also an ATMEGA328 on hand to drive a 7-segment gauge on the seconds display, and a PIR sensor which shuts the clock down when nobody is around to view it.

It’s a tidy build, and one with a compelling aesthetic at that. We’ve seen some similar builds before using real aviation gauges, too. Video after the break.

youtube.com/embed/pB9JtX6nKLQ?…


hackaday.com/2025/04/14/esp32-…





Converting the C64 Mini Into A C64C


The C64 Mini is a beautiful and functional replica of the most popular computer ever made, except at 50% size and without a working keyboard. For maximum nostalgia, it was modeled after the brown breadbox C64 case which so characterized the model. However, [10p6] wanted to build a tiny C64C instead, so set about making a conversion happen.

The build is primarily about the case design. [10p6] created a nice 50% scale duplicate of the C64C, with an eye to making it work with the internals of the popular C64 Mini. The case was paired with a custom PETSCII keyboard PCB and keycaps designed by [Bleugh]. This was a key element, since it wouldn’t really feel like a functional C64C without a functional keyboard. The build also scored a bonus USB hub for more flexibility. For the best possible finish, the case, power button, and keycaps were all printed using a resin printer, which provides a more “production-like” result than FDM printers are capable of.

It’s funny how retro computers remain popular to this day, particularly amongst the hacker set. In contrast, we don’t see a whole lot of people trying to replicate Pentium II machines from the mid-1990s. If you do happen to have a crack at it, though, the tipsline is always open. Video after the break.

youtube.com/embed/CwKFFWvBH-g?…


hackaday.com/2025/04/14/conver…



#USA-#Iran, corsa a ostacoli


altrenotizie.org/primo-piano/1…


Linux Fu: Stopping a Runaway


The best kind of Hackaday posts are the ones where there was some insurmountable problem with an elegant solution devised through deep analysis of the problem and creativity. This is not one of those posts. I’m sure you are familiar with bit rot. You know, something works for a long time and then, for no apparent reason, stops working. Well, that has been biting me, and lacking the time for the creative, elegant solution, I decided to attack it with a virtual chainsaw.

It all started with a 2022 Linux Fu about using autokey.

The Problem


I use autokey to give me emacs-style keystrokes in Web browsers and certain other programs. It intercepts keystrokes and translates them into other keystrokes. The problem is, the current Linux community hates autokey. Well, that’s not strictly true. They just love Wayland more. One reason I won’t switch from X11 is that I haven’t found a way to do something like I do with autokey. But since most of the powers-that-be have decided that X11 is bad and Wayland is good, X11 development is starting to show cracks.

In particular, autokey isn’t in the normal repositories for my distro anymore (KDE Neon). Of course, I’ve installed the latest version myself. I’m perfectly capable of doing that or even building from source. But lately, I’ve noticed my computer hangs, especially after sleeping for a long time. Also, after a long time, I notice that autokey just quits working. It is running but not working and I have to restart it. The memory consumption seems high when this happens.

You know how it is. Your system has quirks; you just live with them for a while. But eventually those paper cuts add up. I finally decided I needed to tackle the issue. But I don’t really have time to go debug autokey, especially when it takes hours for the problem to manifest.

The Chainsaw


I’ll say it upfront: Finding the memory leak would be the right thing to do. Build with debug symbols. Run the code and probe it when the problem comes up. Try to figure out what combination of X11, evdev, and whatever other hocus pocus it uses is causing this glitch.

But who’s got time for that? I decided that instead of launching autokey directly, I’d launch a wrapper script. I already had autokey removed from the KDE session so that I don’t try to start it myself and then get the system restaring it also. But now I run the wrapper instead of autokey.

So what does the wrapper do? It watches the memory consumption of autokey. Sure enough, it goes up just a little bit all the time. When the script sees it go over a threshold it kills it and restarts it. It also restarts if autokey dies, but I rarely see that.

What’s Memory Mean?


The problem is, how do you determine how much memory a process is using? Is it the amount of physical pages it has? The virtual space? What about shared libraries? In this case, I don’t really care as long as I have a number that is rising all the time that I can watch.

The /proc file system has a directory for each PID and there’s a ton of info in there. One of them is an accounting of memory. If you look at /proc/$PID/smaps for some program you’ll see something like this:
00400000-00420000 r--p 00000000 fd:0e 238814592 /usr/bin/python3.12
Size: 128 kB
KernelPageSize: 4 kB
MMUPageSize: 4 kB
Rss: 128 kB
Pss: 25 kB
Pss_Dirty: 0 kB
Shared_Clean: 128 kB
Shared_Dirty: 0 kB
Private_Clean: 0 kB
Private_Dirty: 0 kB
Referenced: 128 kB
Anonymous: 0 kB
KSM: 0 kB
LazyFree: 0 kB
AnonHugePages: 0 kB
ShmemPmdMapped: 0 kB
FilePmdMapped: 0 kB
Shared_Hugetlb: 0 kB
Private_Hugetlb: 0 kB
Swap: 0 kB
SwapPss: 0 kB
Locked: 0 kB
THPeligible: 0
VmFlags: rd mr mw me sd
00420000-00703000 r-xp 00020000 fd:0e 238814592 /usr/bin/python3.12
Size: 2956 kB
KernelPageSize: 4 kB
MMUPageSize: 4 kB
Rss: 2944 kB
Pss: 595 kB
Pss_Dirty: 0 kB
Shared_Clean: 2944 kB
Shared_Dirty: 0 kB
Private_Clean: 0 kB
Private_Dirty: 0 kB
. . .

Note that there is a section for each executable and shared object along with lots of information. You can get all the PSS (proportional set size) numbers for each module added together like this (among other ways):

cat /proc/$PID/smaps | grep -i pss | awk '{Total+=$2} END { print Total}'

Building the Chainsaw


So armed with that code, it is pretty easy to just run the program, see if it is eating up too much memory, and restart it if it is. I also threw in some optional debugging code.
#!/bin/bash
#- Run autokey, kill it if it gets too big
#- what's too big? $MLIMIT
MLIMIT=500000
#- how often to check (seconds)
POLL=10

#- Print debug info if you want
function pdebug {
#- comment out if you don't want debugging. Leave in if you do
#- echo $1 $2 $3 $4
}

while true # do forever
do
PID=$(pgrep autokey-qt) # find autokey
pdebug "PID",$PID
if [ ! -z "$PID" ] # if it is there
then
# get the memory size
PSS=$(cat /proc/$PID/smaps | grep -i pss | awk '{Total+=$2} END { print Total}')
pdebug "PSS", $PSS
echo $PSS >>/tmp/autokey-current.log
# too big?
if [ "$PSS" -gt "$MLIMIT" ]
then
pdebug "Kill"
echo Killed >>/tmp/autokey-current.log
# save old log before we start another
cp /tmp/autokey-current.log /tmp/autokey-$PID.log
kill $PID
PID=
sleep 2
fi
fi
if [ -z $PID ]
then
# if died, relaunch
pdebug "Launch"
autokey-qt & 2>&1 >/tmp/autokey-current.log
fi
pdebug "Sleep"
sleep $POLL
done

In practice, you’ll probably want to remove the cp command that saves the old log, but while troubleshooting, it is good to see how often the process is killed. Running this once with a big number gave me an idea that PSS was about 140,000 but rising every 10 seconds. So when it gets to 500,000, it is done. That seems to work well. Obviously, you’d adjust the numbers for whatever you are doing.

Bad Chainsaw


There are lots of ways this could have been done. A systemd timer, for example. Maybe even a cgroup. But this works, and took just a few minutes. Sure, a chainsaw is a lot to just cut a 2×4, but then again, it will go through it like a hot knife through butter.

I did consider just killing autokey periodically and restarting it. The problem is I work odd hours sometimes, and that means I’d have to do something like tie it to the screensaver. But I agree there are dozens of ways to do this, including to quit using autokey. What would your solution be? Let us know in the comments. Have you ever resorted to a trick this dirty?


hackaday.com/2025/04/14/linux-…



Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025


I ricercatori della PCAutomotive hanno evidenziato diverse vulnerabilità nel veicolo elettrico Nissan Leaf. Gli esperti hanno dimostrato che i bug potrebbero essere utilizzati per l’hacking a distanza delle auto, la sorveglianza e l’intercettazione completa di varie funzioni.

PCAutomotive è specializzata in test di penetrazione e analisi delle minacce per il settore automobilistico e finanziario. La scorsa settimana, alla conferenza Black Hat Asia 2025, gli esperti hanno parlato dettagliatamente dell’attacco hacker alla Nissan Leaf.

L’oggetto dello studio era il veicolo elettrico Nissan Leaf di seconda generazione, lanciato nel 2020. Le vulnerabilità riscontrate al suo interno hanno consentito l’utilizzo delle funzioni Bluetooth del sistema di infotainment dell’auto per penetrare nella rete interna.

Gli esperti sostengono che queste problematiche hanno consentito di aumentare i privilegi e di stabilire un canale di comunicazione con il server di controllo tramite comunicazioni cellulari, garantendo un accesso nascosto e costante al veicolo elettrico direttamente tramite Internet.

L’aggressore potrebbe sfruttare le vulnerabilità scoperte per spiare il proprietario di una Nissan Leaf, monitorando la posizione dell’auto, catturando screenshot del sistema di infotainment e persino registrando le conversazioni delle persone all’interno dell’auto.

youtube.com/embed/56VreoKtStw?…

Inoltre, i problemi consentivano il controllo a distanza di varie funzioni dell’auto, tra cui l’apertura delle portiere, dei tergicristalli, del clacson, degli specchietti, dei finestrini, dei fari e perfino del volante, anche durante la guida.

Alle vulnerabilità sono stati assegnati otto identificatori CVE: da CVE-2025-32056 a CVE-2025-32063.

I ricercatori hanno affermato che il processo di divulgazione delle informazioni sui bug è iniziato già nell’agosto 2023, ma gli specialisti Nissan hanno confermato l’esistenza dei problemi solo nel gennaio 2024 e l’assegnazione degli identificatori CVE ha richiesto circa un altro anno.

Oltre al loro rapporto, gli esperti hanno pubblicato un video in cui hanno chiaramente dimostrato come hanno utilizzato i loro exploit per hackerare da remoto una Nissan Leaf.

I rappresentanti della Nissan hanno dichiarato ai media che l’azienda non può divulgare dettagli sulle vulnerabilità e sulle misure di protezione adottate per motivi di sicurezza. Allo stesso tempo, l’azienda ha sottolineato che continuerà a sviluppare e implementare tecnologie per combattere gli attacchi informatici “per il bene della sicurezza e della tranquillità dei clienti”.

L'articolo Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025 proviene da il blog della sicurezza informatica.

Maronno Winchester reshared this.



Cyber security e modelli 231: integrazione nell’era digitale


@Informatica (Italy e non Italy 😁)
L'idoneità e l'efficacia dei Modelli 231 nell'era digitale dipendono dalla capacità di adattarsi al nuovo contesto tecnologico. Non si tratta semplicemente di aggiungere nuovi controlli, ma di riconsiderare l'intero approccio alla compliance in un ecosistema digitalizzato.



A Cheap Yellow Display Makes A Video Walkie Talkie


The ESP32 series of microprocessors with their cheap high-power cores and built-in wireless networking have brought us a wide variety of impressive projects over the years. We’re not sure we’ve quite seen the like of [Jonathan R]’s video walkie talkie before though, a pair of units which as you might guess, deliver two-way video and audio communications.

The trick involves not one but two ESP32s: an ESP32-S3 based camera module, and a more traditional Tensilica ESP32 in a screen module. It’s an opportunity for an interesting comparison, as one device uses the Cheap Yellow Display board, and the other uses an Elecrow equivalent. The audio uses ESP-NOW, while the video uses WiFi, and since the on-board audio amplifiers aren’t great, there’s a small amp module.

The video below has a comprehensive run-down including the rationale behind the design choices, as well as a demonstration. There’s a small lag, but nothing too unacceptable for what is after all an extremely cheap device. Perhaps after all this time, the video phone has finally arrived!

youtube.com/embed/rfnsuzQIYbs?…


hackaday.com/2025/04/14/a-chea…



La Nato sceglie l’IA di Palantir per supportare le proprie operazioni. I dettagli

@Notizie dall'Italia e dal mondo

Entro trenta giorni, anche l’Alleanza Atlantica sarà in grado di schierare l’IA generativa a supporto delle proprie operazioni e per migliorare le proprie capacità di Comando e Controllo (C2). A renderlo noto è il Supreme Headquarters Allied Power Europe



Jenny’s (Not Quite) Daily Drivers: Raspberry Pi 1


An occasional series of mine on these pages has been Daily Drivers, in which I try out operating systems from the point of view of using them for my everyday Hackaday work. It has mostly featured esoteric or lesser-used systems, some of which have been unexpected gems and others have been not quite ready for the big time.

Today I’m testing another system, but it’s not quite the same as the previous ones. Instead I’m looking at a piece of hardware, and I’m looking at it for use in my computing projects rather than as my desktop OS. You’ll all be familiar with it: the original Raspberry Pi appeared at the end of February 2012, though it would be May of that year before all but a lucky few received one. Since then it has become a global phenomenon and spawned a host of ever-faster successors, but what of that original board from 2012 here in 2025? If you have a working piece of hardware it makes sense to use it, so how does the original stack up? I have a project that needs a Linux machine, so I’m dusting off a Model B and going down memory lane.

Rediscovering An Old Flame

My first Pi from 2012. The heatsinks are my addition.My first Pi from 2012. The heatsinks are my addition.
It’s fair to say that Raspberry Pi have never had the fastest board on the block, or the highest specification. At any point there’s always some board or other touted as a Pi-killer because it claims to do more, but somehow they never make much impact. The reason for this is simple; alongside your Pi you are also buying the ability to run Raspberry Pi OS, and their achievement in creating a solid and well-supported operating system that still runs on their earliest boards is something their competitors can’t touch. So when I pulled out my Model B I was able to go to the Raspberry Pi downloads page and snag a Debian Bookworm image for its 32-bit processor. I went for the “lite” version; while an early Pi will run a desktop and could even be my desktop daily driver, it would be so painfully slow as to be frustrating.
A graph of the frequency of the word "Brexit" in UK news over 2016. There's a huge spike in the middle of the year, around the referendum.This is what my word trend analysis tool can do. Everyone was talking about Brexit in the UK in 2016.
My purpose for using the Pi is to run a language analysis package. Aside from fiddling with old cameras and writing about tech, I have a long history in computational language processing, and I have recently returned to my news trend analysis code and made it open-source. It’s a project whose roots go back nearly two decades, so there’s been an element of working out what my younger self was thinking. It builds and processes a corpus of news data over time from RSS feeds, and presents a web-based analysis client. 2000s-era me wrote it in PHP (don’t judge!) and I evolved a corpus structure using a huge tree of small JSON files for fast access. An earlier version of this package ran on my first Pi for many years, sitting next to my router with a USB hard disk.

Firing up an original Pi in 2025 is easy enough, as with any Pi it’s simply a case of writing the image to an SD card, hooking up the Pi to screen and peripherals, and booting it. Raspberry Pi OS is as straightforward to set up as always, and after rebooting and logging in, there I was with a shell.

Remembering, Computers Weren’t Always This Quick

A Snail, on a rock.Yes. it’s slow. But it’s got a shell. macrophile, CC BY 2.0.
My main machine is a fairly recent high-end Thinkpad laptop with an Intel Core i7, 32 GB of memory, and the fastest SSD I could afford, equipped with a hefty cache. It’s a supercomputer by any measure from the past, so I have become used to things I do in the shell being blisteringly quick. Sitting at the Pi, it’s evident that I’ll need to recalibrate my expectations, as there’s no way it can match the Thinkpad. As i waited – rather a long time – for apt to upgrade the packages, I had time to reflect. Back in the day when I set up Linux on my 486 or my Pentium machine, I was used to waiting like this. I remember apt upgrade being a go away and have a coffee thing, and I also remember thinking that Pentium was pretty quick, which it was for its day. But stripped of unnecessary services and GUI cruft, I was still getting all the power of the Pi in my terminal. It wasn’t bad, simply visibly slower than the Thinkpad, which to be fair, also applies to all the other computers I own.

So my little Pi 1 model B now sits again hooked up to my router and with a hefty USB drive, again waking up every couple of hours and number-crunching the world’s news. I’ve got used to its relative sloth, and to working again with nano and screen to get things done on it. It’s a useful little computer for the task I have for it, and it can run all day consuming only a couple of watts. As long as the Raspberry Pi people still make the Pi Zero, and I hope for a few years after they stop, it will continue to have OS support, and thus its future as my language processing machine looks assured.

The point of this piece has been to reflect on why we shouldn’t let our older hardware collect dust if it’s still useful. Of course Raspberry Pi want to sell us a new Pi 5, and that board is an amazing machine. But if your task doesn’t need all that power and you still have the earlier model lying around, don’t forget that it’s still a capable little Linux board that you probably paid quite a lot less for. You can’t argue with that.


hackaday.com/2025/04/14/jennys…



Password, autenticazione, CAPTCHA: è tutto inutile! Arriva Tycoon2FA e porta il PaaS a l’ultimo livello


Sono stati scoperti aggiornamenti importanti nella piattaforma di phishing Tycoon2FA, nota per la sua capacità di aggirare l’autenticazione a due fattori in Microsoft 365 e Gmail.

Gli sviluppatori di questo strumento dannoso, che opera secondo il modello “phishing as a service” (PhaaS), hanno migliorato i meccanismi per mascherare ed eludere i sistemi di sicurezza.

L’esistenza di Tycoon2FA è stata rivelata per la prima volta nell’ottobre 2023 dagli esperti Aziende Sekoia. Da allora, la piattaforma si è evoluta notevolmente, diventando più sofisticata ed efficiente. Ora gli analisti di Trustwave hanno delineato diversi miglioramenti importanti che rendono molto più difficile per i sistemi di sicurezza degli endpoint rilevare attività dannose.

Una delle innovazioni principali è l’uso di caratteri Unicode invisibili per nascondere i dati binari nel codice JavaScript. La tecnica, descritta per la prima volta dai ricercatori di Juniper Threat Labs a febbraio, consente al codice dannoso di decifrare con successo ed essere eseguito all’avvio, senza essere rilevabile né dall’analisi automatizzata né dalla revisione umana.

I creatori della piattaforma hanno anche un abbandonato al servizio Turnstile di Cloudflare, sostituendolo con il proprio CAPTCHA basato su HTML5 canvas con elementi generati casualmente.

Secondo gli analisti, lo scopo del trucco è impedire ai sistemi di reputazione del dominio di identificare siti dannosi e offrire agli aggressori più opzioni per perfezionare il contenuto delle pagine di phishing.

Il terzo importante aggiornamento è l’introduzione di meccanismi anti-debug JavaScript. La piattaforma ha imparato a riconoscere strumenti di automazione del browser come PhantomJS e Burp Suite, bloccando le azioni correlate all’analisi di codice dannoso. Se viene rilevata un’attività sospetta o il CAPTCHA non viene completato correttamente (il che potrebbe indicare l’intervento di bot di sicurezza), l’utente viene automaticamente reindirizzato a una pagina esca o a un sito legittimo, come rakuten.com.

Trustwave sottolinea :Sebbene questi metodi di mascheramento non siano nuovi presi singolarmente, la loro combinazione rende molto più difficile rilevare e analizzare l’infrastruttura di phishing. Pertanto, bloccare e prevenire gli attacchi diventa un compito arduo.

Contemporaneamente, gli specialisti dell’azienda hanno registrato un aumento senza precedenti degli attacchi di phishing tramite file SVG. Questa tattica è stata adottata da diverse piattaforme di phishing: Tycoon2FA, Mamba2FA e Sneaky2FA. Tra aprile 2024 e marzo 2025, il numero di tali incidenti è aumentato di un incredibile 1.800%.

Gli aggressori mascherano i file SVG come messaggi vocali, loghi o icone di documenti cloud. La caratteristica unica del formato SVG (Scalable Vector Graphics) è che consente di incorporare codice JavaScript che viene eseguito automaticamente quando l’immagine viene aperta in un browser. Per evitare di essere scoperto, il codice dannoso viene crittografato utilizzando più metodi contemporaneamente: codifica base64, algoritmo ROT13, crittografia XOR e viene anche mascherato introducendo istruzioni inutili.

Lo scopo principale di questo codice è reindirizzare i destinatari dei messaggi a pagine di accesso false di Microsoft 365 per rubare le credenziali. A titolo di esempio, i ricercatori citano un’e-mail di phishing contenente una falsa notifica di Microsoft Teams relativa a un messaggio vocale. Quando si apre il file SVG allegato, camuffato da registrazione audio, nel browser viene eseguito il codice JavaScript, che reindirizza la vittima a una falsa pagina di accesso a Office 365.

A causa della crescente popolarità delle piattaforme di phishing e degli attacchi basati su SVG, si invitano gli utenti a prestare particolare attenzione quando verificano l’autenticità dei mittenti delle e-mail. Alcune delle misure di sicurezza più efficaci includono la configurazione di gateway di posta elettronica per bloccare o segnalare allegati SVG sospetti e l’utilizzo di metodi di autenticazione multifattoriale resistenti al phishing, come i dispositivi FIDO-2.

L'articolo Password, autenticazione, CAPTCHA: è tutto inutile! Arriva Tycoon2FA e porta il PaaS a l’ultimo livello proviene da il blog della sicurezza informatica.



Meta AI addestrata con i nostri dati: opporci o no, ecco il dilemma


@Informatica (Italy e non Italy 😁)
Sono in arrivo le notifiche agli utenti da parte di Meta per avvisarli dell'avvio dell'addestramento dei propri modelli di intelligenza artificiale. Ecco cosa occorre sapere per concedere il proprio consenso al servizio Meta AI in Ue
L'articolo Meta AI



inTouch says on its website "Busy life? You can’t call your parent every day—but we can." My own mum said she would feel terrible if her child used it.#News
#News


Perché il settore sanitario europeo deve rafforzare la resilienza per combattere la minaccia del ransomware


Autore: Andrea Nicelli, Head of Italy and Spain at Resilience

Le infrastrutture critiche italiane sono altamente esposte alle minacce informatiche, posizionandosi al quarto posto a livello mondiale e al primo posto in Europa per numero di attacchi informatici subiti nel 2024.

Andrea Nicelli, Head of Italy and Spain at Resilience

Nonostante sia un polo cruciale per l’innovazione digitale, le aziende del Paese si trovano ad affrontare significative minacce di criminalità informatica, in particolare nei settori sanitario, governativo e universitario. Questi settori sono privi di infrastrutture di sicurezza informatica di base e l’adozione di assicurazioni informatiche è minima. Il ransomware è una delle principali minacce per le organizzazioni italiane, con violazioni di dati in istituzioni come l’Università di Siena, il Bologna FC e SynLab Italia lo scorso anno. Secondo il rapporto sui rischi di Resilience, il ransomware è rimasto la principale causa di perdite per le aziende nel 2024 e si prevede che costerà alle aziende a livello globale 52 miliardi di euro quest’anno. In questo contesto, i decisori devono rivalutare proattivamente la gestione del rischio informatico con l’aumento degli attacchi e iCISO dovrebbero rafforzare le difese e allineare la sicurezza informatica con obiettivi aziendali più ampi, mentre le organizzazioni dovrebbero rimanere al passo con l’evoluzione delle normative UE per garantire conformità e resilienza.

Il ransomware è la principale minaccia informatica


Il ransomware è diventato la minaccia informatica più diffusa e finanziariamente devastante, sfruttando le vulnerabilità comuni all’interno delle organizzazioni.

I criminali informatici prendono di mira organizzazioni di tutte le dimensioni, utilizzando tecniche di ingegneria sociale, tra cui il phishing, per indurre i dipendenti a cliccare su link dannosi. Inoltre, le debolezze nella sicurezza dei fornitori terzi possono anche fornire una backdoor nelle reti e aumentare il rischio di un attacco. Gli attacchi ransomware spesso comportano il furto di dati sensibili, in genere tramite infostealer, ovvero software dannosi progettati per catturare credenziali di accesso, registri finanziari e informazioni personali.

Questi dati vengono poi venduti sul dark web, che è diventato un mercato popolare per le informazioni rubate, alimentando ulteriori attività criminali. In alcuni casi, i dati rubati vengono utilizzati per facilitare ulteriori attacchi, con gli hacker che richiedono un pagamento per la restituzione sia dei dati crittografati che delle informazioni rubate.

Questi attacchi sono la principale causa di perdite aziendali, con le organizzazioni che devono affrontare sia il pagamento del riscatto che significativi costi di recupero. I tempi di inattività del sistema, la perdita di produttività, le spese di recupero e il danno reputazionale spesso portano a perdite finanziarie persino maggiori del riscatto stesso. Il costo medio di una violazione dei dati in Italia lo scorso anno è stato il più alto mai registrato, attestandosi a 4,28 milioni di euro.

Difendersi dal ransomware sta diventando sempre più difficile. Le tattiche dei criminali informatici si stanno evolvendo, come l’utilizzo di piattaforme come Tor e Telegram per eludere il rilevamento e l’utilizzo dell’intelligenza artificiale per automatizzare gli attacchi, sfruttando al contempo vulnerabilità sia umane che di sistema.

Vulnerabilità nel settore sanitario


Il settore sanitario è uno dei più vulnerabili agli attacchi ransomware e, secondo gli ultimi dati dell’OMS Europa, è il settore critico più preso di mira nell’UE. Quasi la metà degli incidenti informatici subiti dal settore sanitario dell’UE nel 2024 è stata rappresentata da attacchi ransomware, secondo il Threat Landscape Report dell’ENISA, con la violazione di SynLab Italia che evidenzia le sfide che il settore sanitario italiano si trova ad affrontare.

Gli operatori sanitari si affidano sempre più a strumenti basati su cloud, piattaforme esternalizzate e dispositivi medici connessi, ma molti non riescono a gestire i rischi associati, rimanendo esposti. Questi attacchi possono avere conseguenze potenzialmente letali. Gli ospedali potrebbero dover affrontare interruzioni delle cure urgenti, ritardi nelle diagnosi e una potenziale messa a repentaglio della sicurezza dei pazienti.

L’integrazione di servizi cloud, dispositivi in ​​rete e provider esterni nel settore aumenta la sua superficie di attacco, consentendo ai criminali informatici molteplici punti di ingresso. Gli attacchi possono disabilitare i sistemi IT critici, rubare i dati dei pazienti e limitare l’accesso a farmaci e attrezzature vitali, amplificando il danno. Ciò che i decisori in ambito sanitario devono comprendere è che un attacco ransomware non è più una questione di “se”, ma di “quando”. Le organizzazioni dovrebbero rafforzare le misure di sicurezza informatica, implementare solide strategie di protezione dei dati e garantire l’esistenza di piani di continuità operativa per mitigare i rischi legati al ransomware.

Cosa possono fare le organizzazioni e i CISO?


Con la crescente complessità delle minacce informatiche, le organizzazioni devono adottare un approccio proattivo e resiliente alla sicurezza informatica. I CISO e i responsabili IT devono andare oltre le tradizionali misure difensive e adottare la resilienza e la gestione del rischio informatico come principi fondamentali. Con gli attacchi informatici ormai inevitabili, le organizzazioni devono concentrarsi non solo sulla difesa, ma anche sulla garanzia di un rapido ripristino e di interruzioni operative minime.

Il ruolo del CISO si è evoluto in risposta a questo cambiamento. I CISO devono essere attori chiave nelle discussioni dei consigli di amministrazione. La loro competenza è essenziale per orientare le decisioni di investimento, la selezione dei fornitori e la gestione del rischio organizzativo complessivo. Integrando la sicurezza informatica nella strategia aziendale, il CISO garantisce che non si tratti solo di una questione tecnica.

I CISO possono anche quantificare il rischio, traducendo le vulnerabilità informatiche in termini finanziari, aiutando i decisori finanziari a effettuare investimenti consapevoli e ottimizzare i controlli informatici nell’ambito di una più ampia strategia di gestione del rischio. Organizzazioni come Resilience svolgono un ruolo chiave nel guidare questa trasformazione offrendo strumenti che consentono alle aziende di quantificare i rischi informatici, monitorare le vulnerabilità nei sistemi e adottare misure preventive prima che si verifichi una violazione.

In caso di violazione, l‘assicurazione informatica e i sistemi di backup possono mitigare l’interruzione operativa e garantire la continuità operativa delle organizzazioni. Adottando tali strumenti e approcci, le organizzazioni possono rafforzare la propria sicurezza informatica a lungo termine e proteggersi dalla minaccia del ransomware.

Quadri normativi UE in evoluzione


In risposta alla crescente minaccia del ransomware, la Commissione Europea ha introdotto quadri normativi chiave volti a rafforzare la resilienza informatica, in particolare in settori critici come l’assistenza sanitaria. Il Piano d’azione dell’UE per la sicurezza informatica in ambito sanitario, adottato all’inizio del 2024, riconosce la vulnerabilità del settore al ransomware e include misure come un Centro di supporto per la sicurezza informatica, la segnalazione obbligatoria dei pagamenti per il ransomware e un monitoraggio rafforzato delle vulnerabilità dei dispositivi medici.

Istituisce inoltre una rete europea di CISO del settore sanitario per condividere le migliori pratiche e promuovere la collaborazione all’interno del settore. Sebbene questi quadri rappresentino un progresso significativo, le organizzazioni devono impegnarsi per integrare proattivamente i cambiamenti nelle loro operazioni quotidiane. Molti settori, in particolare l’assistenza sanitaria, dispongono ancora di pratiche di sicurezza informatica frammentate, che li espongono agli attacchi ransomware. Senza adeguati investimenti in misure preventive e capacità di risposta agli incidenti, le normative da sole non possono fornire una protezione completa.

La crescente vulnerabilità dell’Italia al ransomware richiede un’azione immediata. Sebbene le normative offrano indicazioni, i veri progressi derivano dall’implementazione attiva, e i CISO dovrebbero guidare gli sforzi per la resilienza informatica e implementare solide strategie di gestione del rischio. Aziende come Resilience forniscono gli strumenti per quantificare i rischi, rafforzare le difese e garantire un rapido ripristino. È il momento di investire nella resilienza e proteggersi dalle crescenti minacce informatiche.

Scopri le principali tendenze delle minacce informatiche nel Ransomware Report 2025 di Red Hot Cyber ​​DarkLab.

L'articolo Perché il settore sanitario europeo deve rafforzare la resilienza per combattere la minaccia del ransomware proviene da il blog della sicurezza informatica.