Electret capsules can be found in some of the highest quality microphones for studio use, as well as in some of the very cheapest microphone capsules on the market. More care and attention has gone into the high-end capsule and its associated circuitry than the cheap one, but is it still possible to get good quality from something costing under a dollar? [Mubarak Basha] thinks so, and has designed a preamp circuit to get the best from a cheap electret capsule.

These capsules may be cheap, but with the addition of a low voltage supply, a resistor, and a capacitor, their internal FET delivers a decent enough input to many a project. To improve on that will need a bit of effort, and in this the preamp delivers by taking care to match impedance, impose a carefully chosen frequency response, and just the right gain to derive a line level output from the electret’s level. It’s hardly a complex circuit, but that’s not always necessary.

As always in these situations, without appropriate test equipment it’s difficult to gauge quality. We’d say this though, if you make one of these and it falls short, you won’t have spent much. Meanwhile if you’re curious about electrets, here’s our guide.

hackaday.com/2025/10/11/the-el…

Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancati pagamenti per prestazioni sanitarie realmente effettuate.

L’oggetto della comunicazione riporta la formula “Richiesta di saldo debito – [nome e cognome]”, un dettaglio che contribuisce a rendere il messaggio particolarmente credibile. All’interno del testo si trovano elenchi di ricette e prestazioni mediche che corrispondono a quelle effettivamente emesse dai medici curanti, inducendo così il destinatario a ritenere la richiesta autentica.

Il messaggio invita a “regolarizzare la propria posizione” effettuando un versamento di circa 40 euro su un conto corrente estero, con IBAN spagnolo. Tuttavia, si tratta di una truffa costruita per carpire denaro e dati personali.

La Polizia Postale raccomanda di non procedere ad alcun pagamento, di non cliccare sui link contenuti nel messaggio e di segnalare tempestivamente ogni tentativo sospetto attraverso il portale ufficiale www.commissariatodips.it oppure contattando direttamente gli uffici della Polizia di Stato.

La segnalazione di questa campagna fraudolenta è stata diffusa dalla Polizia Postale, che invita i cittadini della Lombardia a prestare la massima attenzione e a verificare sempre l’autenticità delle comunicazioni ricevute via email o SMS.

La vicenda evidenzia come i truffatori stiano sempre più affinando le tecniche di phishing, rendendo i messaggi estremamente realistici e difficili da distinguere da comunicazioni ufficiali.

È fondamentale che i cittadini mantengano un atteggiamento critico, verifichino sempre l’autenticità delle richieste di pagamento e seguano le indicazioni della Polizia Postale. La prudenza e la segnalazione tempestiva dei messaggi sospetti restano le migliori difese contro questo tipo di frodi.

L'articolo Lombardia nel mirino! Attenzione ai messaggi di phishing averte la Polizia Postale proviene da il blog della sicurezza informatica.

Gli hacker hanno iniziato a utilizzare Velociraptor, lo strumento di analisi forense e risposta agli incidenti digitali (DFIR), per sferrare attacchi con i ransomware LockBit e Babuk. I ricercatori di Cisco Talos attribuiscono queste campagne al gruppo Storm-2603, operativo in Cina.

Secondo gli analisti, gli aggressori hanno utilizzato una versione obsoleta di Velociraptor con una vulnerabilità di escalation dei privilegi (CVE-2025-6264 , punteggio CVSS 5,5) per ottenere il controllo completo sui sistemi infetti.

Velociraptor è stato creato da Mike Cohen come strumento DFIR open source e successivamente acquisito da Rapid7 che ne sta sviluppando la versione commerciale. A fine agosto, i ricercatori di Sophos hanno segnalato che gli aggressori stavano già utilizzando questo software per l’accesso remoto. Lo hanno utilizzato per scaricare ed eseguire Visual Studio Code su host infetti, creando un tunnel di comunicazione sicuro con i server C2.

Secondo Cisco Talos, l’attacco è iniziato con la creazione di account di amministratore locale sincronizzati con l’ID Entra. Utilizzando questi account, gli aggressori hanno effettuato l’accesso alla console VMware vSphere e hanno stabilito una presenza nell’infrastruttura virtuale.

Hanno quindi installato una versione precedente di Velociraptor, la 0.73.4.0, che conteneva la vulnerabilità CVE-2025-6264, consentendo loro di eseguire comandi arbitrari e assumere il controllo del sistema. Lo strumento è stato riutilizzato anche dopo l’isolamento dell’host, garantendo una presenza persistente sulla rete.

Gli aggressori hanno anche utilizzato comandi smbexec in stile Impacket per avviare programmi da remoto e creare attività pianificate con script batch. Per indebolire la sicurezza, hanno disabilitato i moduli di protezione di Microsoft Defender, incluso il monitoraggio delle attività di file e processi, tramite i criteri di gruppo di Active Directory.

Gli strumenti di rilevamento delle minacce hanno rilevato il ransomware LockBit in esecuzione su computer Windows, ma i file crittografati avevano l’estensione “.xlockxlock“, già riscontrata negli attacchi Warlock.

Sui server VMware ESXi, i ricercatori hanno trovato un binario Linux identificato come Babuk. Un ransomware PowerShell fileless è stato utilizzato per la crittografia di massa dei dati, generando nuove chiavi AES a ogni esecuzione. In precedenza, un altro script PowerShell scaricava documenti per una doppia estorsione, aggiungendo ritardi tra le operazioni per eludere sandbox e sistemi di analisi.

Halcyon ha osservato nella sua ricerca che Storm-2603 è probabilmente collegato ad agenzie governative cinesi ed era precedentemente noto come Warlock e CL-CRI-1040. Il gruppo ha agito come partner di LockBit, combinando i propri strumenti con quelli di ecosistemi di criminalità informatica consolidati.

Cisco Talos ha presentato una serie di indicatori di compromissione, inclusi file scaricati dagli aggressori e tracce di attività di Velociraptor rilevate sui sistemi infetti.

L'articolo Velociraptor usato in attacchi attivi per distribuire il ransomware LockBit e Babuk proviene da il blog della sicurezza informatica.

SonicWall ha confermato che il mese scorso una violazione dei dati ha interessato tutti i clienti che utilizzavano il servizio di backup cloud dell’azienda. Di conseguenza, le configurazioni del firewall memorizzate in MySonicWall sono state compromesse.

MySonicWall è un portale per i clienti SonicWall che consente loro di gestire l’accesso ai prodotti, le licenze, la registrazione, gli aggiornamenti del firmware, le richieste di supporto e i backup cloud delle configurazioni del firewall (file .EXP).

Si consiglia agli utenti di seguire immediatamente i passaggi sottostanti:

• Accedere all’account MySonicWall.com e verifica se esistono backup cloud per i firewall registrati
• Se i campi sono vuoti, non c’è alcun impatto
• Se i campi contengono dettagli di backup, verificare se i numeri di serie interessati sono elencati nell’account
• Se vengono visualizzati i numeri di serie, gli utenti devono seguire le linee guida di contenimento e ripristino per i firewall elencati

A metà settembre 2025, SonicWall ha esortato i propri clienti a modificare le proprie credenziali di accesso il prima possibile, poiché un attacco informatico agli account MySonicWall aveva compromesso i file di backup della configurazione del firewall.

All’epoca, i dettagli dell’attacco non furono divulgati e SonicWall dichiarò di aver bloccato l’accesso degli aggressori ai sistemi dell’azienda e di aver già collaborato con le agenzie di sicurezza informatica e le forze dell’ordine.

L’azienda ha pubblicato raccomandazioni dettagliate pensate per aiutare gli amministratori a ridurre al minimo i rischi di sfruttamento di configurazioni rubate. In particolare, ha raccomandato di riconfigurare il prima possibile i segreti e le password potenzialmente compromessi e di monitorare le potenziali attività degli aggressori.

All’epoca, il fornitore aveva riferito che circa il 5% dei suoi clienti totali utilizzava il servizio di backup su cloud, ma l’attacco aveva colpito solo “alcuni account”.

In un aggiornamento pubblicato questa settimana, SonicWall ha avvisato che l’incidente ha interessato tutti i clienti che utilizzavano un portale cloud per archiviare i file di configurazione del firewall.

“SonicWall ha completato l’indagine, condotta in collaborazione con Mandiant, azienda leader nella gestione delle relazioni con i clienti, sulla portata di un recente incidente di sicurezza relativo al backup su cloud. L’indagine ha confermato che una parte non autorizzata ha avuto accesso ai file di backup della configurazione del firewall di tutti i clienti che hanno utilizzato il servizio di backup su cloud di SonicWall. I file contengono credenziali e dati di configurazione crittografati; sebbene la crittografia rimanga attiva, il possesso di questi file potrebbe aumentare il rischio di attacchi mirati. Stiamo lavorando per informare tutti i partner e i clienti interessati e abbiamo rilasciato strumenti per supportare la valutazione e la risoluzione dei problemi dei dispositivi. Gli elenchi finali aggiornati e completi dei dispositivi interessati sono ora disponibili sul portale MySonicWall (accedere a Gestione Prodotti > Elenco Problemi).”

Si sottolinea che i file compromessi contengono credenziali e dati di configurazione crittografati con AES-256.

Gli utenti possono verificare se i loro dispositivi sono interessati accedendo a MySonicWall e andando su Gestione Prodotti -> Elenco Problemi. In caso di problemi in sospeso, gli utenti devono seguire i passaggi indicati nella guida Essential Credential Reset, dando priorità ai firewall attivi con accesso a Internet.

L'articolo SonicWall conferma la violazione dei dati. A rischio i clienti del servizio backup cloud proviene da il blog della sicurezza informatica.

È stata scoperta una grande botnet chiamata RondoDox che sfrutta 56 vulnerabilità in più di 30 dispositivi diversi, tra cui bug dimostrati per la prima volta durante la competizione di hacking Pwn2Own.

Gli aggressori prendono di mira un’ampia gamma di dispositivi accessibili tramite Internet, tra cui videoregistratori digitali (DVR), videoregistratori di rete (NVR), sistemi di videosorveglianza e server web.

RondoDox utilizza una strategia che i ricercatori di Trend Micro chiamano “exploit shotgun”: il malware utilizza più exploit contemporaneamente per massimizzare il numero di infezioni, nonostante la natura di alto profilo di tale attività.

I ricercatori segnalano che, tra le altre vulnerabilità, RondoDox attacca CVE-2023-1389, un bug nel router Wi-Fi TP-Link Archer AX21, inizialmente dimostrato al Pwn2Own Toronto 2022. Si sottolinea che gli sviluppatori della botnet monitorano attentamente gli exploit dimostrati al Pwn2Own e poi iniziano a utilizzarli nella pratica.

Tra le vulnerabilità n-day che RondoDox ha già aggiunto al suo arsenale ci sono:

• Digiever – CVE-2023-52163;
• Qnap – CVE-2023-47565;
• LB-LINK – CVE-2023-26801;
• TRENDnet – CVE-2023-51833;
• D-Link – CVE-2024-10914;
• TBK – CVE-2024-3721;
• Netgear – CVE-2024-12847;
• AVTECH – CVE-2024-7029;
• TOTOLINK – CVE-2024-1781;
• Tenda – CVE-2025-7414;
• TOTOLINK – CVE-2025-1829;
• Meteobridge – CVE-2025-4008;
• Edimax – CVE-2025-22905;
• Linksys – CVE-2025-34037;
• TOTOLINK – CVE-2025-5504;
• TP-Link – CVE-2023-1389.

Gli esperti scrivono che le vecchie vulnerabilità, soprattutto nei dispositivi che hanno superato il periodo di supporto, rappresentano un problema serio, poiché è meno probabile che ricevano patch. I problemi più recenti nell’hardware supportato non sono meno pericolosi, poiché molti utenti semplicemente ignorano gli aggiornamenti del firmware dopo la configurazione iniziale del dispositivo.

Gli analisti di Trend Micro segnalano che RondoDox utilizza exploit per 18 vulnerabilità di command injection a cui non è ancora stato assegnato un identificatore CVE. Queste vulnerabilità interessano i dispositivi NAS D-Link, i DVR TVT e LILIN, i router Fiberhome, ASMAX e Linksys, le telecamere Brickcom e altri dispositivi non specificati.

Come precedentemente riportato da FortiGuard Labs, RondoDox è in grado di lanciare attacchi DDoS utilizzando HTTP, UDP e TCP. Per evitare di essere rilevata, la botnet maschera il suo traffico dannoso sotto forma di giochi e piattaforme popolari, tra cui Minecraft, Dark and Darker, Roblox, DayZ, Fortnite e GTA di Valve, oltre a strumenti come Discord, OpenVPN, WireGuard e RakNet.

Per proteggersi dagli attacchi RondoDox, i ricercatori raccomandano di installare gli ultimi aggiornamenti firmware disponibili e di sostituire tempestivamente l’hardware scaduto. Inoltre, si raccomanda di segmentare la rete, isolando i dati critici dai dispositivi IoT accessibili tramite Internet e dalle connessioni guest, nonché di modificare le credenziali predefinite e utilizzare password complesse.

L'articolo Scoperta la botnet RondoDox: migliaia di dispositivi a rischio proviene da il blog della sicurezza informatica.

In this video our hacker [Inkbox] shows us how to create a computer game that runs directly on computer hardware, without an operating system!

[Inkbox] briefly explains what BIOS is, then covers how UEFI replaces it. He talks about the genesis of UEFI from Intel in the late 90s. After Intel’s implementation of UEFI was made open source it got picked up by the TianoCore community who make tools such as the TianoCore EDK II.

[Inkbox] explains that the UEFI implementation provides boot services and runtime services. Boot services include things such as loading memory management facilities or running other UEFI applications, and runtime services include things like system clock access and system reset. In addition to these services there are many more UEFI protocols that are available.

[Inkbox] tells us that when an x64 CPU boots it jumps to memory address 0xfffffff0 that contains the initialization instructions which will enter protected mode, verify the firmware, initialize the memory, load the storage and graphics drivers, then run the UEFI Boot Manager. The UEFI Boot Manager will in turn load the appropriate EFI application, such as the firmware settings manager application (the “BIOS settings”), Windows Boot Manager, or GRUB. In this video we make our very own EFI application that the UEFI Boot Manager can be configured to load and run.

The system used for development and testing has a AMD Ryzen AI 9 HX 370 CPU and 32GB DDR5 RAM.

Having explained how everything gets started [Inkbox] goes on to explain how to write and deploy the assembly language program which will load and play the game. [Inkbox] shows how to read and write to the console and mentions that he did his testing on QEMU with an image on an external USB thumbdrive. He goes on to show how to use the system time and date facilities to get the current month. When trying to read nanoseconds from the system clock he ended up needing to refer to the UEFI Specification Release 2.10 (2.11 is latest as of this writing).

In the rest of the video [Inkbox] does some arithmetic for timing, uses LocateProtocol to load the graphics output provider, configures an appropriate video mode, writes to the screen using BLT operations, and makes the program run on multiple CPU cores (the CPU used has 24). At last, with some simple graphics programming and mouse input, [Inkbox] manages to get Space Game for x86 to run.

If you’re interested in knowing more about UEFI a good place to start is What’s The Deal With UEFI?

youtube.com/embed/ZFHnbozz7b4?…

hackaday.com/2025/10/10/progra…