Salta al contenuto principale

friendica (DFRN) - Collegamento all'originale

Crudele staccare una “famiglia” dal bosco e portarla nelle istituzioni


@Giornalismo e disordine informativo
articolo21.org/2025/11/crudele…
Io difendo la famiglia nel bosco. È vero, La Russa ha le sopracciglia troppo folte e il volto coperto da una barba irsuta; Nordio continua a ruminare radici di

@Giornalismo e disordine informativo

friendica (DFRN) - Collegamento all'originale

#Cina e #Giappone, guerra per #Taiwan
altrenotizie.org/primo-piano/1…

Cina e Giappone, guerra per Taiwan

Sono bastate poco più di due settimane alla neo-premier giapponese, Sanae Takaichi, per precipitare le relazioni del suo paese con la Cina al punto più basso almeno degli ultimi dieci anni.
www.altrenotizie.org

friendica (DFRN) - Collegamento all'originale

Il nuovo video di Pasta Grannies: youtube.com/shorts/FKLS4FtK--o
@Cucina e ricette

(HASHTAG)

@Cucina e ricette

Cucina e ricette reshared this.

friendica (DFRN) - Collegamento all'originale

Il caso Bose e l'appello alla UE

Lampi di Cassandra/ Abituarsi alla morte nell'IoT, reloaded. La morte degli oggetti informatici è diventato un fatto comune e ricorrente. (ZEUS News)
ZEUS News

friendica (DFRN) - Collegamento all'originale

Digital Omnibus – A Single Rulebook or a License to Trespass Fundamental Rights?


@politics
european-pirateparty.eu/digita…

Digital Omnibus – A Single Rulebook or a License to Trespass Fundamental Rights? What is Digital Omnibus? Digital policy lobbies across

@politics

friendica (DFRN) - Collegamento all'originale

Come leggere la trasformazione dell’accordo tra Fincantieri e Us Navy per le Fregate Constellation

@Notizie dall'Italia e dal mondo

La decisione dell’amministrazione Trump e della US Navy di rivedere radicalmente il programma delle fregate classe Constellation non rappresenta la rottura di un rapporto industriale, ma l’esito di una più ampia trasformazione

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

Un nuovo carro tedesco per il fianco orientale della Nato. Ecco il Leopard 2A8

@Notizie dall'Italia e dal mondo

La Germania compie un nuovo passo nel rafforzamento della propria postura di difesa e di quella della Nato con la presentazione ufficiale della nuova versione del carro armato Leopard, denominata “2A8”. Il mezzo, sviluppato dal consorzio europeo (a trazione tedesca) Knds e svelato

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

Dagli Stati Uniti all’Europa, l’industria della Difesa al bivio tra passato e futuro

@Notizie dall'Italia e dal mondo

C’è un filo che negli ultimi anni sta attraversando l’industria della Difesa in Occidente, un filo che con il tempo si è trasformato in una crepa e che oggi assomiglia a una vera e propria faglia. Non è una frattura improvvisa né il risultato di un

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

L’UE lancia l’industria bellica continentale con la benedizione dei socialisti


@Notizie dall'Italia e dal mondo
Con un voto trasversale, il parlamento europeo approva l'Edip, un programma di finanziamento dell'industria militare europea diretto a diminuire la dipendenza di Bruxelles dagli Stati Uniti e a potenziare la produzione di armi
L'articolo L’UE lancia

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

HashJack: quando un cancelletto nell’URL inganna l’IA nel browser


@Informatica (Italy e non Italy 😁)
C’è una nuova, sottile minaccia che sfrutta uno dei simboli più innocui del web – il cancelletto (hashtag) “# – per aggirare le difese di sicurezza e manipolare gli assistenti IA integrati nei browser. Si chiama HashJack, ed è stata identificata dai ricercatori di Cato Networks come

@Informatica (Italy e non Italy 😁)

friendica (DFRN) - Collegamento all'originale

A che serve cambiare ora la legge elettorale? Meloni e i suoi all’assalto di Costituzione e Mattarella


@Giornalismo e disordine informativo
articolo21.org/2025/11/a-che-s…
Se la destra ha vinto le Regionali, come dicono loro, perché mai la

@Giornalismo e disordine informativo

reshared this

friendica (DFRN) - Collegamento all'originale

Incontro sulla violenza di genere, bilancio

Dunque, sono partito con l'organizzazione questa primavera.

Ho contattato diverse associazioni che si occupano di violenza di genere, una mi ha risposto e ha messo a disposizione una psicologa delle loro (che arrivava da fuori Firenze). Ho contattato un sindacato della scuola perché facessero arrivare la notizia a qualche insegnante/dirigente scolastico nel tentativo di coinvolgere gli studenti (scelta sbagliatissima perché non hanno fatto assolutamente nulla, la prossima volta contatterò direttamente i rappresentanti degli studenti). Ho prenotato la sala alla casa del popolo. Come RSU abbiamo convocato un'assemblea dei lavoratori di 4 ore in modo che la gente potesse partecipare senza prendere permessi o ferie. Ho fatto la locandina. Stamattina mi sono alzato alle 6:30 per andare lì a preparare la sala (sistemazione PC per fare un video, impianto amplificazione, sistemazione sedie, ecc.).

Risultato: 10 persone (su più di 150 dipendenti della mia azienda).

E niente...

friendica (DFRN) - Collegamento all'originale

La Gran Bretagna si propone come garante armato della pace in Ucraina

@Notizie dall'Italia e dal mondo

“Waddle, Gobble & Volodymyr” è la battuta che circola a Washington. I primi due sono i tacchini che, come è ormai tradizione alla vigilia della festa del Ringraziamento, hanno ricevuto la grazia del presidente americano.Metaforicamente, il terzo graziato dal tycoon è il presidente

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

La nuova difesa Ue? Passa dai distretti italiani. Parla Donazzan

@Notizie dall'Italia e dal mondo

Un jolly chiamato distretti. L’Italia lo offre come modello di sviluppo al macro tema della difesa europea, dopo che nel marzo 2024 la Commissione ha pubblicato una proposta di regolamento sul programma per l’industria europea della difesa e sul quadro di misure per garantire la

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

A breach shows people are making AI porn of ordinary people at scale; X exposes the location of its biggest MAGA grifters; and how we contributed to the shut down of a warrantless surveillance program.#Podcast

404 Media

2025-11-26 14:00:25

ghost - Collegamento all'originale

Podcast: A Massive Breach Reveals the Truth Behind 'Secret Desires AI'


We start this week with Sam's piece about a massive leak of an AI chatbot, and how it showed that people were taking ordinary women’s yearbook photos and using them to make AI porn. After the break, Jason explains how a recent change on X exposed a bunch of grifters all around the world. In the subscribers-only section, we talk about how our reporting contributed to the shut down of a warrantless surveillance program.
playlist.megaphone.fm?e=TBIEA9…
Listen to the weekly podcast on Apple Podcasts,Spotify, or YouTube. Become a paid subscriber for access to this episode's bonus content and to power our journalism. If you become a paid subscriber, check your inbox for an email from our podcast host Transistor for a link to the subscribers-only version! You can also add that subscribers feed to your podcast app of choice and never miss an episode that way. The email should also contain the subscribers-only unlisted YouTube link for the extended video version too. It will also be in the show notes in your podcast player.
youtube.com/embed/UgOtR_bDft4?…
1:23 - Intro - Please, please do our reader survey
3:57 - Story 1 - Massive Leak Shows Erotic Chatbot Users Turned Women’s Yearbook Pictures Into AI Porn
30:05 - Story 2 - America’s Polarization Has Become the World's Side Hustle
49:39 - Story 3 - Airlines Will Shut Down Program That Sold Your Flights Records to Government



The 404 Media Podcast

Tech News Podcast · Updated Weekly · Welcome to the podcast from 404 Media where Joseph, Sam, Emanuel, and Jason catch you up on the stories we published this week. 404 Media is a journalist-owned digital media company exploring the way …
Apple Podcasts

#Podcast

friendica (DFRN) - Collegamento all'originale

Old tech, new vulnerabilities: NTLM abuse, ongoing exploitation in 2025


Just like the 2000s


Flip phones grew popular, Windows XP debuted on personal computers, Apple introduced the iPod, peer-to-peer file sharing via torrents was taking off, and MSN Messenger dominated online chat. That was the tech scene in 2001, the same year when Sir Dystic of Cult of the Dead Cow published SMBRelay, a proof-of-concept that brought NTLM relay attacks out of theory and into practice, demonstrating a powerful new class of authentication relay exploits.

Ever since that distant 2001, the weaknesses of the NTLM authentication protocol have been clearly exposed. In the years that followed, new vulnerabilities and increasingly sophisticated attack methods continued to shape the security landscape. Microsoft took up the challenge, introducing mitigations and gradually developing NTLM’s successor, Kerberos. Yet more than two decades later, NTLM remains embedded in modern operating systems, lingering across enterprise networks, legacy applications, and internal infrastructures that still rely on its outdated mechanisms for authentication.

Although Microsoft has announced its intention to retire NTLM, the protocol remains present, leaving an open door for attackers who keep exploiting both long-standing and newly discovered flaws.

In this blog post, we take a closer look at the growing number of NTLM-related vulnerabilities uncovered over the past year, as well as the cybercriminal campaigns that have actively weaponized them across different regions of the world.

How NTLM authentication works


NTLM (New Technology LAN Manager) is a suite of security protocols offered by Microsoft and intended to provide authentication, integrity, and confidentiality to users.

In terms of authentication, NTLM is a challenge-response-based protocol used in Windows environments to authenticate clients and servers. Such protocols depend on a shared secret, typically the client’s password, to verify identity. NTLM is integrated into several application protocols, including HTTP, MSSQL, SMB, and SMTP, where user authentication is required. It employs a three-way handshake between the client and server to complete the authentication process. In some instances, a fourth message is added to ensure data integrity.

The full authentication process appears as follows:

  1. The client sends a NEGOTIATE_MESSAGE to advertise its capabilities.
  2. The server responds with a CHALLENGE_MESSAGE to verify the client’s identity.
  3. The client encrypts the challenge using its secret and responds with an AUTHENTICATE_MESSAGE that includes the encrypted challenge, the username, the hostname, and the domain name.
  4. The server verifies the encrypted challenge using the client’s password hash and confirms its identity. The client is then authenticated and establishes a valid session with the server. Depending on the application layer protocol, an authentication confirmation (or failure) message may be sent by the server.

Importantly, the client’s secret never travels across the network during this process.

NTLM is dead — long live NTLM


Despite being a legacy protocol with well-documented weaknesses, NTLM continues to be used in Windows systems and hence actively exploited in modern threat campaigns. Microsoft has announced plans to phase out NTLM authentication entirely, with its deprecation slated to begin with Windows 11 24H2 and Windows Server 2025 (1, 2, 3), where NTLMv1 is removed completely, and NTLMv2 disabled by default in certain scenarios. Despite at least three major public notices since 2022 and increased documentation and migration guidance, the protocol persists, often due to compatibility requirements, legacy applications, or misconfigurations in hybrid infrastructures.

As recent disclosures show, attackers continue to find creative ways to leverage NTLM in relay and spoofing attacks, including new vulnerabilities. Moreover, they introduce alternative attack vectors inherent to the protocol, which will be further explored in the post, specifically in the context of automatic downloads and malware execution via WebDAV following NTLM authentication attempts.

Persistent threats in NTLM-based authentication


NTLM presents a broad threat landscape, with multiple attack vectors stemming from its inherent design limitations. These include credential forwarding, coercion-based attacks, hash interception, and various man-in-the-middle techniques, all of them exploiting the protocol’s lack of modern safeguards such as channel binding and mutual authentication. Prior to examining the current exploitation campaigns, it is essential to review the primary attack techniques involved.

Hash leakage


Hash leakage refers to the unintended exposure of NTLM authentication hashes, typically caused by crafted files, malicious network paths, or phishing techniques. This is a passive technique that doesn’t require any attacker actions on the target system. A common scenario involving this attack vector starts with a phishing attempt that includes (or links to) a file designed to exploit native Windows behaviors. These behaviors automatically initiate NTLM authentication toward resources controlled by the attacker. Leakage often occurs through minimal user interaction, such as previewing a file, clicking on a remote link, or accessing a shared network resource. Once attackers have the hashes, they can reuse them in a credential forwarding attack.

Coercion-based attacks


In coercion-based attacks, the attacker actively forces the target system to authenticate to an attacker-controlled service. No user interaction is needed for this type of attack. For example, tools like PetitPotam or PrinterBug are commonly used to trigger authentication attempts over protocols such as MS-EFSRPC or MS-RPRN. Once the victim system begins the NTLM handshake, the attacker can intercept the authentication hash or relay it to a separate target, effectively impersonating the victim on another system. The latter case is especially impactful, allowing immediate access to file shares, remote management interfaces, or even Active Directory Certificate Services, where attackers can request valid authentication certificates.

Credential forwarding


Credential forwarding refers to the unauthorized reuse of previously captured NTLM authentication tokens, typically hashes, to impersonate a user on a different system or service. In environments where NTLM authentication is still enabled, attackers can leverage previously obtained credentials (via hash leakage or coercion-based attacks) without cracking passwords. This is commonly executed through Pass-the-Hash (PtH) or token impersonation techniques. In networks where NTLM is still in use, especially in conjunction with misconfigured single sign-on (SSO) or inter-domain trust relationships, credential forwarding may provide extensive access across multiple systems.

This technique is often used to facilitate lateral movement and privilege escalation, particularly when high-privilege credentials are exposed. Tools like Mimikatz allow extraction and injection of NTLM hashes directly into memory, while Impacket’s wmiexec.py, PsExec.py, and secretsdump.py can be used to perform remote execution or credential extraction using forwarded hashes.

Man-in-the-Middle (MitM) attacks


An attacker positioned between a client and a server can intercept, relay, or manipulate authentication traffic to capture NTLM hashes or inject malicious payloads during the session negotiation. In environments where safeguards such as digital signing or channel binding tokens are missing, these attacks are not only possible but frequently easy to execute.

Among MitM attacks, NTLM relay remains the most enduring and impactful method, so much so that it has remained relevant for over two decades. Originally demonstrated in 2001 through the SMBRelay tool by Sir Dystic (member of Cult of the Dead Cow), NTLM relay continues to be actively used to compromise Active Directory environments in real-world scenarios. Commonly used tools include Responder, Impacket’s NTLMRelayX, and Inveigh. When NTLM relay occurs within the same machine from which the hash was obtained, it is also referred to as NTLM reflexion attack.

NTLM exploitation in 2025


Over the past year, multiple vulnerabilities have been identified in Windows environments where NTLM remains enabled implicitly. This section highlights the most relevant CVEs reported throughout the year, along with key attack vectors observed in real-world campaigns.

CVE-2024‑43451


CVE-2024‑43451 is a vulnerability in Microsoft Windows that enables the leakage of NTLMv2 password hashes with minimal or no user interaction, potentially resulting in credential compromise.

The vulnerability exists thanks to the continued presence of the MSHTML engine, a legacy component originally developed for Internet Explorer. Although Internet Explorer has been officially deprecated, MSHTML remains embedded in modern Windows systems for backward compatibility, particularly with applications and interfaces that still rely on its rendering or link-handling capabilities. This dependency allows .url files to silently invoke NTLM authentication processes through crafted links without necessarily being open. While directly opening the malicious .url file reliably triggers the exploit, the vulnerability may also be activated through alternative user actions such as right clicking, deleting, single-clicking, or just moving the file to a different folder.

Attackers can exploit this flaw by initiating NTLM authentication over SMB to a remote server they control (specifying a URL in UNC path format), thereby capturing the user’s hash. By obtaining the NTLMv2 hash, an attacker can execute a pass-the-hash attack (e.g. by using tools like WMIExec or PSExec) to gain network access by impersonating a valid user, without the need to know the user’s actual credentials.

A particular case of this vulnerability occurs when attackers use WebDAV servers, a set of extensions to the HTTP protocol, which enables collaboration on files hosted on web servers. In this case, a minimal interaction with the malicious file, such as a single click or a right click, triggers automatic connection to the server, file download, and execution. The attackers use this flaw to deliver malware or other payloads to the target system. They also may combine this with hash leaking, for example, by installing a malicious tool on the victim system and using the captured hashes to perform lateral movement through that tool.

The vulnerability was addressed by Microsoft in its November 2024 security updates. In patched environments, motion, deletion, right-clicking the crafted .url file, etc. won’t trigger a connection to a malicious server. However, when the user opens the exploit, it will still work.

After the disclosure, the number of attacks exploiting the vulnerability grew exponentially. By July this year, we had detected around 600 suspicious .url files that contain the necessary characteristics for the exploitation of the vulnerability and could represent a potential threat.

BlindEagle campaign delivering Remcos RAT via CVE-2024-43451


BlindEagle is an APT threat actor targeting Latin American entities, which is known for their versatile campaigns that mix espionage and financial attacks. In late November 2024, the group started a new attack targeting Colombian entities, using the Windows vulnerability CVE-2024-43451 to distribute Remcos RAT. BlindEagle created .url files as a novel initial dropper. These files were delivered through phishing emails impersonating Colombian government and judicial entities and using alleged legal issues as a lure. Once the recipients were convinced to download the malicious file, simply interacting with it would trigger a request to a WebDAV server controlled by the attackers, from which a modified version of Remcos RAT was downloaded and executed. This version contained a module dedicated to stealing cryptocurrency wallet credentials.

The attackers executed the malware automatically by specifying port 80 in the UNC path. This allowed the connection to be made directly using the WebDAV protocol over HTTP, thereby bypassing an SMB connection. This type of connection also leaks NTLM hashes. However, we haven’t seen any subsequent usage of these hashes.

Following this campaign and throughout 2025, the group persisted in launching multiple attacks using the same initial attack vector (.url files) and continued to distribute Remcos RAT.

We detected more than 60 .url files used as initial droppers in BlindEagle campaigns. These were sent in emails impersonating Colombian judicial authorities. All of them communicated via WebDAV with servers controlled by the group and initiated the attack chain that used ShadowLadder or Smoke Loader to finally load Remcos RAT in memory.

Head Mare campaigns against Russian targets abusing CVE-2024-43451


Another attack detected after the Microsoft disclosure involves the hacktivist group Head Mare. This group is known for perpetrating attacks against Russian and Belarusian targets.

In past campaigns, Head Mare exploited various vulnerabilities as part of its techniques to gain initial access to its victims’ infrastructure. This time, they used CVE 2024-43451. The group distributed a ZIP file via phishing emails under the name “Договор на предоставление услуг №2024-34291” (“Service Agreement No. 2024-34291”). This had a .url file named “Сопроводительное письмо.docx” (translated as “Cover letter.docx”).

The .url file connected to a remote SMB server controlled by the group under the domain:
document-file[.]ru/files/documents/zakupki/MicrosoftWord.exe
The domain resolved to the IP address 45.87.246.40 belonging to the ASN 212165, used by the group in the campaigns previously reported by our team.
According to our telemetry data, the ZIP file was distributed to 121 users, 50% of whom belong to the manufacturing sector, 35% to education and science, and 5% to government entities, among other sectors. Of all the targets, 22 users interacted with the .url file.

To achieve their goals at the targeted companies, Head Mare used a number of publicly available tools, including open-source software, to perform lateral movement and privilege escalation, forwarding the leaked hashes. Among these tools detected in previous attacks are Mimikatz, Secretsdump, WMIExec, and SMBExec, with the last three being part of the Impacket suite tool.

In this campaign, we detected attempts to exploit the vulnerability CVE-2023-38831 in WinRAR, used as an initial access in a campaign that we had reported previously, and in two others, we found attempts to use tools related to Impacket and SMBMap.

The attack, in addition to collecting NTLM hashes, involved the distribution of the PhantomCore malware, part of the group’s arsenal.

CVE-2025-24054/CVE-2025-24071


CVE-2025-24071 and CVE-2025-24054, initially registered as two different vulnerabilities, but later consolidated under the second CVE, is an NTLM hash leak vulnerability affecting multiple Windows versions, including Windows 11 and Windows Server. The vulnerability is primarily exploited through specially crafted files, such as .library-ms files, which cause the system to initiate NTLM authentication requests to attacker-controlled servers.

This exploitation is similar to CVE-2024-43451 and requires little to no user interaction (such as previewing a file), enabling attackers to capture NTLMv2 hashes and gain unauthorized access or escalate privileges within the network. The most common and widespread exploitation of this vulnerability occurs with .library-ms files inside ZIP/RAR archives, as it is easy to trick users into opening or previewing them. In most incidents we observed, the attackers used ZIP archives as the distribution vector.

Trojan distribution in Russia via CVE-2025-24054


In Russia, we identified a campaign distributing malicious ZIP archives with the subject line “акт_выполненных_работ_апрель” (certificate of work completed April). These files inside the archives masqueraded as .xls spreadsheets but were in fact .library-ms files that automatically initiated a connection to servers controlled by the attackers. The malicious files contained the same embedded server IP address 185.227.82.72.

When the vulnerability was exploited, the file automatically connected to that server, which also hosted versions of the AveMaria Trojan (also known as Warzone) for distribution. AveMaria is a remote access Trojan (RAT) that gives attackers remote control to execute commands, exfiltrate files, perform keylogging, and maintain persistence.

CVE-2025-33073


CVE-2025-33073 is a high-severity NTLM reflection vulnerability in the Windows SMB client’s access control. An authenticated attacker within the network can manipulate SMB authentication, particularly via local relay, to coerce a victim’s system into authenticating back to itself as SYSTEM. This allows the attacker to escalate privileges and execute code at the highest level.

The vulnerability relies on a flaw in how Windows determines whether a connection is local or remote. By crafting a specific DNS hostname that partially overlaps with the machine’s own name, an attacker can trick the system into believing the authentication request originates from the same host. When this happens, Windows switches into a “local authentication” mode, which bypasses the normal NTLM challenge-response exchange and directly injects the user’s token into the host’s security subsystem. If the attacker has coerced the victim into connecting to the crafted hostname, the token provided is essentially the machine’s own, granting the attacker privileged access on the host itself.

This behavior emerges because the NTLM protocol sets a special flag and context ID whenever it assumes the client and server are the same entity. The attacker’s manipulation causes the operating system to treat an external request as internal, so the injected token is handled as if it were trusted. This self-reflection opens the door for the adversary to act with SYSTEM-level privileges on the target machine.

Suspicious activity in Uzbekistan involving CVE-2025-33073


We have detected suspicious activity exploiting the vulnerability on a target belonging to the financial sector in Uzbekistan.

We have obtained a traffic dump related to this activity, and identified multiple strings within this dump that correspond to fragments related to NTLM authentication over SMB. The dump contains authentication negotiations showing SMB dialects, NTLMSSP messages, hostnames, and domains. In particular, the indicators:

  • The hostname localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA, a manipulated hostname used to trick Windows into treating the authentication as local
  • The presence of the IPC$ resource share, common in NTLM relay/reflection attacks, because it allows an attacker to initiate authentication and then perform actions reusing that authenticated session

The incident began with exploitation of the NTLM reflection vulnerability. The attacker used a crafted DNS record to coerce the host into authenticating against itself and obtain a SYSTEM token. After that, the attacker checked whether they had sufficient privileges to execute code using batch files that ran simple commands such as whoami:
%COMSPEC% /Q /c echo whoami ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat
Persistence was then established by creating a suspicious service entry in the registry under:
reg:\\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\YlHXQbXO
With SYSTEM privileges, the attacker attempted several methods to dump LSASS (Local Security Authority Subsystem Service) memory:

  1. Using rundll32.exe:
    C:\Windows\system32\cmd.exe /Q /c CMD.exe /Q /c for /f "tokens=1,2 delims= " ^%A in ('"tasklist /fi "Imagename eq lsass.exe" | find "lsass""') do rundll32.exe C:\windows\System32\comsvcs.dll, #+0000^24 ^%B \Windows\Temp\vdpk2Y.sav fullThe command locates the lsass.exe process, which holds credentials in memory, extracts its PID, and invokes an internal function of comsvcs.dll to dump LSASS memory and save it. This technique is commonly used in post-exploitation (e.g., Mimikatz or other “living off the land” tools).
  2. Loading a temporary DLL (BDjnNmiX.dll):
    C:\Windows\system32\cmd.exe /Q /c cMd.exE /Q /c for /f "tokens=1,2 delims= " ^%A in ('"tAsKLISt /fi "Imagename eq lSAss.ex*" | find "lsass""') do rundll32.exe C:\Windows\Temp\BDjnNmiX.dll #+0000^24 ^%B \Windows\Temp\sFp3bL291.tar.log fullThe command tries to dump the LSASS memory again, but this time using a custom DLL.
  3. Running a PowerShell script (Base64-encoded):
    The script leverages MiniDumpWriteDump via reflection. It uses the Out-Minidump function that writes a process dump with all process memory to disk, similar to running procdump.exe.

Several minutes later, the attacker attempted lateral movement by writing to the administrative share of another host, but the attempt failed. We didn’t see any evidence of further activity.

Protection and recommendations

Disable/Limit NTLM


As long as NTLM remains enabled, attackers can exploit vulnerabilities in legacy authentication methods. Disabling NTLM, or at the very least limiting its use to specific, critical systems, significantly reduces the attack surface. This change should be paired with strict auditing to identify any systems or applications still dependent on NTLM, helping ensure a secure and seamless transition.

Implement message signing


NTLM works as an authentication layer over application protocols such as SMB, LDAP, and HTTP. Many of these protocols offer the ability to add signing to their communications. One of the most effective ways to mitigate NTLM relay attacks is by enabling SMB and LDAP signing. These security features ensure that all messages between the client and server are digitally signed, preventing attackers from tampering with or relaying authentication traffic. Without signing, NTLM credentials can be intercepted and reused by attackers to gain unauthorized access to network resources.

Enable Extended Protection for Authentication (EPA)


EPA ties NTLM authentication to the underlying TLS or SSL session, ensuring that captured credentials cannot be reused in unauthorized contexts. This added validation can be applied to services such as web servers and LDAP, significantly complicating the execution of NTLM relay attacks.

Monitor and audit NTLM traffic and authentication logs


Regularly reviewing NTLM authentication logs can help identify abnormal patterns, such as unusual source IP addresses or an excessive number of authentication failures, which may indicate potential attacks. Using SIEM tools and network monitoring to track suspicious NTLM traffic enhances early threat detection and enables a faster response.

Conclusions


In 2025, NTLM remains deeply entrenched in Windows environments, continuing to offer cybercriminals opportunities to exploit its long-known weaknesses. While Microsoft has announced plans to phase it out, the protocol’s pervasive presence across legacy systems and enterprise networks keeps it relevant and vulnerable. Threat actors are actively leveraging newly disclosed flaws to refine credential relay attacks, escalate privileges, and move laterally within networks, underscoring that NTLM still represents a major security liability.

The surge of NTLM-focused incidents observed throughout 2025 illustrates the growing risks of depending on outdated authentication mechanisms. To mitigate these threats, organizations must accelerate deprecation efforts, enforce regular patching, and adopt more robust identity protection frameworks. Otherwise, NTLM will remain a convenient and recurring entry point for attackers.

securelist.com/ntlm-abuse-in-2…

#0000

cyrboost reshared this.

friendica (DFRN) - Collegamento all'originale

MicroCAD Programs CAD

We love and hate OpenSCAD. As programmers, we like describing objects we want to 3D print or otherwise model. As programmers, we hate all the strange things about OpenSCAD that make it not like a normal programming language. Maybe µCAD (or Microcad) is the answer. This new entry in the field lets you build things programmatically and is written in Rust.

In fact, the only way to get it right now is to build it from source using cargo. Assuming you already have Rust, that’s not hard. Simply enter: cargo install microcad. If you don’t already have Rust, well, then that’s a problem. However, we did try to build it, and despite having the native library libmanifold available, Rust couldn’t find it. You might have better luck.

You can get a feel for the language by going through one of the tutorials, like the one for building a LEGO-like shape. Here’s a bit of code from that tutorial:

use std::geo2d::*;
use std::ops::*;

const SPACING = 8mm;

op grid(columns: Integer, rows: Integer) {
@input
.translate(x = [1..columns] * SPACING, y = [1..rows] * SPACING)
.align()
}

sketch Base(
columns: Integer,
rows: Integer,
width: Length,
height: Length
) {
thickness = 1.2mm;
frame = Frame(width, height, thickness);
struts = Ring(outer_d = 6.51mm, inner_d = 4.8mm)
.grid(columns = columns-1, rows = rows-1);
frame | struts;
}

There are proper functions, support for 2D sketches and 3D objects, and even a VSCode extension.

Will you try it? If we can get it to build, we will. Meanwhile, there’s always OpenSCAD. Even TinkerCAD can do some parametric modeling.

hackaday.com/2025/11/26/microc…

friendica (DFRN) - Collegamento all'originale

There’s Nothing Backwards About This Laser Cut Retrograde Clock

It’s clock time again on Hackaday, this time with a lovely laser-cut biretrograde clock by [PaulH175] over on Instructables. If you’ve never heard of a ‘biretrograde clock,’ well, we hadn’t either. This is clearly a form of retrograde clock, which unlike the name implies doesn’t spin backwards but oscillates in its motion– the hands ‘go retrograde’ the same way the planets do.

The oscillating movement is achieved via a pair of cams mounted on the hour and minute shafts of a common clock mechanism. As the shafts (and thus cams) turn, the minute and hour arms are raised and drop. While that could itself be enough to tell the time, [Paul] goes one further and has the actual hands on pivots driven by a gear mechanism on the cam-controlled arms. You might think that that extra reversal is what makes this a ‘biretrograde clock’ but in the clockmaker’s world that’s just saying it’s a retrograde clock with two indicators: in this case, minute and second.

It’s a fairly rare way to make a clock, but we’ve seen one before. That older project was 3D printed, which might be more your speed; if you prefer laser-cutting, though, [Paul]’s Instructable includes SVG files. Alternatively, you could take a different approach and use voltmeters to get the same effect.

hackaday.com/2025/11/26/theres…

friendica (DFRN) - Collegamento all'originale

lasciate che le figuracce vengano a me
log.livellosegreto.it/ordinari…

lasciate che le figuracce vengano a me

Sono andato a scuola scalzo nessuno mi aveva detto dei compiti da fare a casa e non avevo neppure una scusa, alla lavagna non sapevo co...
ordinariafollia

friendica (DFRN) - Collegamento all'originale
questi vogliono tenere i figli isolati e nella barbarie e non sentono ragione... rifiutano qualsiaisi cosa.

Famiglia nel bosco, Nordio: "Se profili disciplinari interverrò". Avvocato rimette mandato

Leggi su Sky TG24 l'articolo Famiglia nel bosco, Nordio: 'Se profili disciplinari interverrò'. Avvocato rimette mandato
Redazione Sky TG24 (Sky TG24)
in reply to simona

Luca Sironi
mastodon - Collegamento all'originale
Luca Sironi
mi era bastato l'immortale affermazione sulle microplastiche nell'acqua "e poi comunque non volevo pagare la bolletta" per farmi una idea di massima
Questa voce è stata modificata (1 settimana fa)
in reply to Luca Sironi

simona
friendica (DFRN) - Collegamento all'originale
simona
@Luca Sironi in effetti. ma di chicche ne hanno date al mondo tante. incluso farsi pagare per far seguire i figli dalla sanità...
@Luca Sironi

friendica (DFRN) - Collegamento all'originale

Simulazioni di Phishing: 5 consigli per evitare falsi positivi dal CERT-AgID

Sempre più amministrazioni avviano simulazioni di campagne di phishing per misurare la capacità dei propri dipendenti di riconoscere i messaggi sospetti. Quando queste attività coinvolgono strutture pubbliche, può succedere che i messaggi vengano inopportunamente segnalati ai CERT istituzionali come se fossero illecite.

Senza qualche accorgimento tecnico per evidenziare la natura simulata dell’attività, la campagna può essere interpretata come un’operazione malevola vera e propria, con il rischio che anche i CERT censiscano gli indicatori della simulazione nelle blacklist operative.

Il CERT-AgID, propone dei suggerimenti che derivano dall’esperienza in materia maturata sul campo.

Non si tratta di regole rigide, ma di accorgimenti utili per un miglior esito di una simulazione e la minimizzazione del rischio di classificare come ostile qualcosa che non lo è, permettendo ai CERT di concentrarsi sulle minacce reali.

1. Inserire un commento nel codice HTML della pagina


Aggiungere un breve commento nel codice HTML, visibile solo a chi lo ispeziona, aiuta chi analizza la pagina a capire che si tratta di un test legittimo. È una piccola forma di trasparenza tecnica che permette di evitare fraintendimenti, un segnale discreto che mette in allerta l’analista e lo spinge ad approfondire una eventuale segnalazione prima di classificare la pagina come minaccia.

2. Lasciare visibili le informazioni del WHOIS


Non oscurare il WHOIS del dominio usato per la campagna. Vedere subito il nome della società o dell’ente che conduce la simulazione riduce il rischio che il dominio o l’IP vengano scambiati per un’infrastruttura malevola.

3. Informare preventivamente i CERT istituzionali


Una comunicazione essenziale ai CERT istiuzionali che probabilmente potrebbero essere allertati aiuta a evitare segnalazioni di falsi positivi. Possono bastare poche informazioni come:

  • domini e IP utilizzati (opzionalmente il numero di telefono in caso di smishing)
  • periodo previsto della simulazione
  • eventuale tipo di target

Non serve descrivere nei dettagli lo scenario, ma solo poche ed essenziali informazioni sono sufficienti permettere ai CERT di riconoscere i relativi indicatori.

4. Usare un file security.txt sul dominio


Avere un file security.txt (vedere in proposito RFC 9116) disponibile sul dominio della simulazione permette agli analisti di verificare subito se esiste un contatto a cui chiedere conferma. Un riferimento operativo chiaro accelera la gestione dei dubbi e riduce il rischio di trattare la simulazione come un incidente reale.

5. Informare l’utente dopo l’inserimento delle credenziali


Dopo che l’utente inserisce le credenziali o avvia un download, si può scegliere di mostrare subito una pagina che chiarisce che si tratta di una simulazione. Questa soluzione evita preoccupazioni inutili e favorisce la consapevolezza. In altri casi si può decidere di informare l’utente in un secondo momento, anche in funzione dell’approccio scelto dalla società o dall’ente che conduce la simulazione.

L'articolo Simulazioni di Phishing: 5 consigli per evitare falsi positivi dal CERT-AgID proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

WormGPT e KawaiiGPT Migliorano! Le “AI del male” sono un’arma per i cybercriminali

I criminali informatici non hanno più bisogno di convincere ChatGPT o Claude Code a scrivere malware o script per il furto di dati. Esiste già un’intera classe di modelli linguistici specializzati, progettati specificamente per gli attacchi.

Uno di questi sistemi è WormGPT 4, che si pubblicizza come “la chiave per un’intelligenza artificiale senza confini“. Porta avanti l’eredità del modello WormGPT originale, emerso nel 2023 e successivamente scomparso a causa dell’ascesa di altri LLMtossici“, come evidenziato nello studio Abnormal Security .

Secondo gli esperti di Unit 42 presso Palo Alto Networks, le vendite di WormGPT 4 sono iniziate intorno al 27 settembre, con annunci pubblicitari apparsi su Telegram e forum underground come DarknetArmy.
Prezzi delle licenze di utilizzo di WormGPT (Fonte Paloalto)
Secondo il loro rapporto, l’accesso al modello parte da 50 dollari al mese, mentre un abbonamento a vita con il codice sorgente costa 220 dollari.

Il canale Telegram di WormGPT conta attualmente diverse centinaia di iscritti e l’analisi di Unit 42 dimostra che questo modello commerciale senza restrizioni può fare molto di più che semplicemente aiutare a scrivere e-mail di phishing o singoli malware.

Nello specifico, i ricercatori hanno chiesto a WormGPT 4 di creare un ransomware, uno script che crittografa e blocca tutti i file PDF su un host Windows. Il modello ha prodotto uno script PowerShell pronto all’uso, con una nota che lo descrive come “veloce, silenzioso e brutale”. Il codice includeva parametri per la selezione di estensioni e ambiti di ricerca predefiniti sull’intera unità C:, la generazione di un messaggio di riscatto con una scadenza di 72 ore e la possibilità di divulgare dati tramite Tor.

L’Unità 42 sottolinea che nemmeno questa “IA per il male” riesce ancora a trasformare gli attacchi in una pipeline completamente automatizzata. Secondo Kyle Wilhout, responsabile della ricerca sulle minacce presso Palo Alto Networks, il codice generato dal software potrebbe teoricamente essere utilizzato in attacchi reali, ma nella maggior parte dei casi richiede modifiche manuali per evitare di essere bloccato immediatamente dagli strumenti di sicurezza standard.

Un altro esempio di tale strumento è KawaiiGPT, che ha attirato l’attenzione dei ricercatori di sicurezza informatica nell’estate del 2025. I suoi creatori pubblicizzano il modello come una “sadica trovatella per la cyberpenetrazione “ e promettono “dove la tenerezza incontra le armi informatiche offensive”. A differenza di WormGPT, KawaiiGPT è distribuito gratuitamente e disponibile su GitHub, riducendo ulteriormente la barriera d’ingresso per gli aggressori alle prime armi.
Home page di KawaiiGPT (Fonte Paloalto)
In un esperimento, l’Unità 42 ha chiesto a KawaiiGPT di creare un’e-mail di spear phishing che fingeva di provenire da una banca con oggetto “Urgente: verifica le informazioni del tuo conto”. Il modello ha generato un’e-mail convincente che portava a una falsa pagina di verifica in cui si voleva rubare il numero di carta della vittima, la data di nascita e le credenziali di accesso.

I ricercatori non si sono fermati qui e sono passati ad attività più tecniche. In risposta alla richiesta di “scrivere uno script Python per il movimento laterale su un host Linux”, KawaiiGPT ha restituito il codice utilizzando il modulo SSH paramiko. Uno script di questo tipo non offre funzionalità fondamentalmente nuove, ma automatizza un passaggio fondamentale in quasi tutti gli attacchi riusciti: penetrare nei sistemi adiacenti come utente legittimo con accesso alla shell remota, la possibilità di aumentare i privilegi, condurre ricognizioni, installare backdoor e raccogliere file sensibili.

In un altro test, il modello ha generato uno script Python per l’esfiltrazione di dati, in particolare file di posta elettronica EML su un host Windows. Lo script ha trovato i file richiesti e li ha inviati all’indirizzo dell’aggressore come allegati.

Secondo Unit 42, il vero pericolo di WormGPT 4, KawaiiGPT e simili LLM “oscuri” è che riducono significativamente la barriera d’ingresso nel cybercrimesemplificando la generazione di codice dannoso di base, e-mail di phishing e singole fasi di attacco. Tali strumenti possono già fungere da elementi costitutivi per campagne più sofisticate basate sull’intelligenza artificiale e, secondo i ricercatori, gli elementi di automazione discussi nel rapporto sono già utilizzati in attacchi reali.

L'articolo WormGPT e KawaiiGPT Migliorano! Le “AI del male” sono un’arma per i cybercriminali proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

L’Europa si ribella: “Basta Microsoft”. Il Parlamento punta alla sovranità tecnologica

Un gruppo di membri del Parlamento europeo hanno chiesto di abbandonare l’uso interno dei prodotti Microsoft e di passare a soluzioni europee.

La loro iniziativa nasce dalle crescenti preoccupazioni circa la dipendenza delle infrastrutture chiave dalle grandi aziende americane e i potenziali rischi per la sicurezza digitale dell’UE. Gli autori dell’appello ritengono che le istituzioni europee debbano dare l’esempio di indipendenza tecnologica e guidare la transizione verso le proprie piattaforme.

Il documento, che sarà consegnato alla Presidente del Parlamento europeo, Roberta Metzola, elenca 38 firmatari di diversi gruppi politici. Insistono sulla necessità di eliminare gradualmente non solo il software Microsoft, ma anche l’hardware di Dell, HP e LG, utilizzato nei sistemi informatici dell’Istituto.

Ritengono che il Parlamento disponga di risorse sufficienti per diventare la forza trainante di un’iniziativa più ampia volta a rafforzare la sovranità tecnologica . Gli autori della lettera sottolineano che, in un contesto di turbolenza geopolitica, le aziende tecnologiche possono diventare strumenti di pressione esterna, mentre una quota significativa delle spese di bilancio continua a essere destinata a fornitori esteri.

La petizione elenca i servizi europei che, secondo i parlamentari, sono in grado di sostituire le soluzioni attualmente in uso. Tra questi, il browser norvegese Vivaldi, il motore di ricerca francese Qwant, il servizio di posta elettronica svizzero Proton e la piattaforma di collaborazione tedesca Nextcloud.

I firmatari sottolineano che uno dei passi a medio termine dovrebbe essere la completa cessazione dell’utilizzo dei prodotti Microsoft, incluso il sistema operativo Windows. A sostegno della loro posizione, citano la Corte penale internazionale, che ha recentemente vietato i servizi dell’azienda a causa delle preoccupazioni relative alle sanzioni statunitensi .

La lettera è firmata da rappresentanti di diverse correnti: Aura Salla e Mikka Aaltola del gruppo di centro-destra del PPE, Birgit Sippel e Raphaël Glucksmann dei Socialdemocratici, Stéphanie Jon-Curten e Marie-Agnes Strack-Zimmermann di Renew Europe, Alexandra Giese e Kim van Sparrentak dei Verdi, e Leila Schaibi e Merja Kyllonen di La Sinistra.

Gli autori della lettera propongono di creare un gruppo di lavoro composto da parlamentari e personale parlamentare che organizzi e supervisioni la transizione alle tecnologie europee.

L’appello traccia anche un parallelo con la flotta di veicoli del Parlamento europeo, composta quasi interamente da marchi europei. I firmatari ritengono che questo approccio possa essere esteso anche alle apparecchiature informatiche. Sono fiduciosi che, con sufficiente volontà politica, l’istituto sarà in grado di raggiungere l’indipendenza dalla tecnologia straniera entro la fine del suo attuale mandato.

L’iniziativa è stata coordinata dall’eurodeputato centrista austriaco Helmut Brandstätter. Egli osserva che l’infrastruttura del Parlamento europeo si basa attualmente su software stranieri, che potrebbero teoricamente essere disattivati, monitorati o utilizzati per scopi politici. Sostiene che non si tratta di ostilità nei confronti degli Stati Uniti, ma della necessità di rafforzare la sovranità europea.

Microsoft ha risposto affermando di offrire la più ampia gamma di soluzioni incentrate sulla fornitura di capacità di controllo digitale e di gestione dei dati all’interno delle organizzazioni europee e di voler continuare a lavorare per espandere tali servizi.

Da tenere in considerazione che molte attività di sospensione delle tecnologie di Microsoft sono nate a valle dei fatti di cronaca emersi quando l’azienda ha bloccato l’accesso a determinati servizi Azure per il Ministero della Difesa israeliano, dopo le rivelazioni secondo cui tali infrastrutture venivano utilizzate per operazioni di sorveglianza di massa in Cisgiordania e Gaza.

La decisione è arrivata in seguito a un articolo del The Guardian, che accusava l’Unità 8200 di sfruttare la tecnologia Microsoft per elaborare e archiviare milioni di telefonate all’ora, spingendo Brad Smith a rilasciare una dichiarazione pubblica per chiarire la posizione dell’azienda.

L'articolo L’Europa si ribella: “Basta Microsoft”. Il Parlamento punta alla sovranità tecnologica proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

Shakerati Anonimi: la storia di Marco e il “prezzo” della Fiducia

Ciao a tutti… mi chiamo Marco, ho 37 anni e lavoro come impiegata amministrativa in uno studio commerciale. È la prima volta che parlo davanti a tutti voi e sono un pò emozionato … e vi assicuro che non è semplice. Ma dopo quello che ho passato, ho capito che tacere non porta da nessuna parte, mentre condividere può salvare qualcun altro dal mio stesso problema.

Mi sono sempre considerato una persona prudente: pago tutto con la carta, controllo gli estratti conto, tengo d’occhio le email sospette, e quando non capisco qualcosa… chiedo.

Eppure, qualche mese fa, tra lavoro, stress, bollette e un po’ di solitudine, ho abbassato la guardia. E qualcuno mi ha colpito proprio nel momento perfetto e ho perso 15.000 euro.

L’inizio di tutto


Tutto è cominciato con una pubblicità su un social: “Guadagna completando semplici task online – zero rischi, solo profitto”.

Non era la prima volta che vedevo annunci simili, ma quella piattaforma sembrava più professionale, con grafici, recensioni e perfino assistenza live.

Quindi ci penso, ma istintivamente compilo il modulo.

Dopo dieci minuti mi chiama un tizio con una voce rassicurante, educatissima.
Mi spiega che posso iniziare subito con un piccolo versamento: 250 euro.

Li invio.

Nel giro di qualche giorno il “portafoglio” mostrava già +12% di profitto.
Io non ci credevo: “Allora funziona davvero!”.

La spirale


Da lì è iniziata la pressione: task da completare, versamenti sempre più grandi, piccole “missioni” da finire per avere accesso ai bonus.

Ma ogni volta che provavo a prelevare, compariva un messaggio: “Errore. Attendi l’approvazione dell’operatore.”

Oppure: “Prelievo bloccato: è necessario completare un nuovo task.”

Pensavo che era un problema momentaneo.

Nel frattempo, i grafici del mio wallet salivano, salivano tanto… sembravo diventare ricco senza muovere un dito. Ma io quei soldi non li vedevo mai davvero.

Il problema più grande


Per continuare, a un certo punto non avevo più soldi miei.

Così ho usato la carta di credito di mio padre che mi aveva affidato “solo per le emergenze”. La carta era sempre con me, lui non ha mai fatto controlli ossessivi, e io mi illudevo che presto gli avrei rimesso tutto, anzi, forse avrei anche potuto fare una sorpresa alla famiglia.

Ho nascosto questa cosa a tutti. Per lunghi ed interminabili mesi… che stupido che sono stato!

Il colpo di scena


Un giorno, finalmente, decido di fare un prelievo importante: 5.000 euro dal mio “profitto”. Il portale si blocca. L’assistenza mi scrive: “Contatto in arrivo dal nostro reparto sicurezza.”

Mi chiama una signora, molto gentile. Mi dice che vedono un’anomalia sul mio profilo, che qualcuno potrebbe aver tentato accessi non autorizzati e che devono verificare la proprietà del wallet.
Mi chiede il numero della carta che ho utilizzato per i depositi, per “confermare l’identità”.

Gliela do.

A quel punto mi dicono: “La procedura richiede un’ultima transazione di validazione. Poi i fondi saranno sbloccati.” Dopo cinque minuti, vedo l’addebito: 3.000 euro.

Mi precipito a ricaricare la pagina.
Il portafoglio è sparito.
La piattaforma non esiste più.
La chat non risponde.
Il numero è irraggiungibile.

Ed ecco il colpo di scena: mio padre mi chiama chiedendo perché aveva ricevuto una notifica di sicurezza dalla banca per “attività sospette” sulla carta.

Lui non ne sapeva nulla, era caduto dalle nuvole.
La bugia e la truffa sono esplose insieme.

È lì che ho capito veramente che non solo avevo perso i miei soldi… avevo messo nei guai anche mio padre.

Quando mi sono presentato alla polizia postale, avevo il cuore a pezzi.

Non tanto per il denaro perso, ma per la vergogna. Credevo mi avrebbero giudicata come un cretino, invece mi sono sentita dire che casi come il mio arrivano ogni giorno: persone preparate, intelligenti, attente… tutte ingannate da manipolazioni psicologiche studiate al millimetro. È stato il primo momento in cui mi sono sentito meno solo ed ecco perché ho poi accettato di venire qua da voi a condividere la mia storia.

Da lì ho iniziato a leggere, informarmi, capire come funzionano queste finte piattaforme di investimento.

Ho scoperto, troppo tardi, che tutto ciò che vedevo, dai grafici ai profitti, era generato da un software truccato. Nulla era reale. Ogni messaggio, ogni telefonata, ogni “errore di prelievo” era parte di un piano preciso. E più leggevo, più mi chiedevo una sola cosa: come ho potuto cascarci?

Poi ho capito tristemente una cosa: non cadi perché sei stupido. Cadi perché sei un essere umano.

Lesson Learned – Cosa abbiamo imparato


  • Le piattaforme che mostrano profitti immediati e garantiti sono una trappola al 100%.
  • Se non puoi prelevare in qualunque momento, non è un investimento ma una truffa.
  • I truffatori giocano su psicologia, pressione, premi, urgenza e senso di colpa.
  • Utilizzare carte intestate ad altri (anche familiari) mette tutti a rischio e complica enormemente la situazione.
  • Non denunciare subito peggiora i danni: i truffatori contano proprio sul silenzio.
  • Condividere le tue esperienze digitali con i familiari aiuta ad uscirne fuori in fretta. Fallo!


Come prevedere (ed evitare) tutto questo


  • Diffidare di ogni proposta che promette guadagni rapidi e “senza rischio”.
  • Controllare sempre se una piattaforma finanziaria è autorizzata da CONSOB.
  • Verificare i siti su portali come Whois, Scamadviser, Google Safe Browsing.
  • Non credere ai grafici che “crescono”: sono completamente falsificabili.
  • Non condividere codici, carte, screenshot o accessi con nessuno, mai.
  • E soprattutto: se qualcosa ti fa sentire in ansia o sotto pressione, è quasi sempre una truffa.


Genesi dell’articolo


L’articolo è stato ispirato da una truffa reale, condivisa da un utente su Reddit.

A questa persona va tutto il nostro conforto: il suo coraggio nel raccontare ciò che ha vissuto permette ad altri di riconoscere i segnali, proteggersi e imparare dall’esperienza che ha affrontato.

L'articolo Shakerati Anonimi: la storia di Marco e il “prezzo” della Fiducia proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

Gli USA puntano tutto sulla “scienza automatica”. Al via la Missione Genesis: più AI e meno persone

Il presidente degli Stati Uniti Donald Trump ha firmato un ordine esecutivo, “Launching the Genesis Mission”, che avvia un programma nazionale per l’utilizzo dell’intelligenza artificiale nella scienza. Il documento è stato pubblicato sul sito web della Casa Bianca.

Il preambolo paragona l’iniziativa al Progetto Manhattan per portata e urgenza e promette “una nuova era di scoperte scientifiche accelerate dall’intelligenza artificiale”. Secondo Politico, il consigliere scientifico presidenziale Michael Kratsios definisce la Missione Genesis “la più grande mobilitazione di risorse scientifiche federali dai tempi del programma Apollo“.

Il Segretario all’Energia degli Stati Uniti, Chris Wright, un imprenditore che ha fatto fortuna con il fracking, è stato incaricato di coordinare il programma. L’ordinanza impone al Dipartimento dell’Energia di mettere in comune i dati scientifici provenienti dall’agenzia e da altre agenzie federali e, sulla base di questi, creare modelli di base scientifici e sistemi di intelligenza artificiale per automatizzare gli esperimenti e analizzare i dati.

A tal fine, la Missione Genesis implementerà la Piattaforma Americana per la Scienza e la Sicurezza, che utilizza supercomputer di laboratorio nazionali e ambienti cloud sicuri. Il documento affronta esplicitamente compiti come la progettazione sperimentale automatizzata, la modellazione accelerata e l’uso dell’intelligenza artificiale per le previsioni in campi che vanno dalla fusione nucleare alla scienza dei materiali e alla microelettronica.

Il decreto descrive in dettaglio le attività per il prossimo anno. Entro 60 giorni, il Ministero dell’Energia deve presentare un elenco di almeno 20 compiti scientifici e tecnologici chiave di rilevanza nazionale. Dopo 90 giorni, l’agenzia è tenuta a preparare un inventario delle risorse informatiche disponibili e, dopo altri 120 giorni, a definire una serie di set di dati e modelli iniziali e un piano per collegare i dati provenienti da altre agenzie e università.

Entro 240 giorni, deve essere valutato il potenziale dei “laboratori robotici” e, dopo 270 giorni, deve essere presentato il primo caso dimostrativo della piattaforma. Dopo un anno, e successivamente ogni anno, il Ministero riferirà sullo stato di avanzamento e sui risultati della piattaforma.

La Missione Genesis si basa su una serie di ordini esecutivi esistenti relativi all’IA, che l’amministrazione Trump ha compilato su un portale governativo separato, AI.gov.

Elenca documenti che includono ordini che incoraggiano l’esportazione di stack tecnologici di IA americani e impediscono l’adozione di una “IA woke” all’interno delle agenzie federali. La nuova iniziativa si posiziona come un livello più ambizioso e integrato, progettato per collegare l’IA alla ricerca fondamentale.

Allo stesso tempo, sottolineano i critici, l’amministrazione sta attuando tagli massicci ai finanziamenti scientifici tradizionali. Secondo PBS , la Corte Suprema degli Stati Uniti ha autorizzato un taglio di circa 783 milioni di dollari al bilancio della ricerca sanitaria.

Una serie separata di tagli ha interessato la climatologia. Il MIT Technology Review ha segnalato la chiusura di oltre un centinaio di studi sul clima finanziati dalla National Science Foundation; questa valutazione è supportata anche da revisioni e riassunti del settore, come Free Government Information e Nature.

Secondo il Sabin Center for Climate Change Law della Columbia University, l’amministrazione ha inoltre tagliato quasi 100 milioni di dollari di finanziamenti per il settore della ricerca meteorologica, oceanica e climatica della NOAA.

Sullo sfondo di queste decisioni, negli Stati Uniti è in corso una battaglia sui programmi universitari per la diversità e l’inclusione. Secondo il Guardian il Dipartimento di Stato prevede di escludere 38 università dal partenariato di ricerca Diplomacy Lab a causa dell’utilizzo di approcci DEI nelle loro politiche del personale.

In definitiva, la Missione Genesis viene lanciata sia come progetto tecnologico su larga scala sia come mossa politicamente controversa. I sostenitori sperano che la piattaforma di intelligenza artificiale del governo acceleri davvero le scoperte fondamentali e aumenti il ritorno sugli investimenti federali nella scienza. Gli scettici sottolineano che il decreto sottolinea ripetutamente la sua dipendenza dai bilanci esistenti e la frase “soggetto a disponibilità di stanziamenti“.

Sullo sfondo dei tagli ai programmi di ricerca tradizionali, affidarsi alla “scienza automatizzata” appare rischioso. Il vero impatto dell’iniziativa sarà chiaro solo dai rapporti iniziali del Dipartimento dell’Energia e dai progetti concreti che possono essere realizzati su questa piattaforma.

L'articolo Gli USA puntano tutto sulla “scienza automatica”. Al via la Missione Genesis: più AI e meno persone proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale
L’Associazione internazionale esorcisti (Aie) ha promosso dal 17 al 21 novembre a Buenos Aires il corso di formazione sulle “Linee guida per il ministero dell’esorcismo alla luce del rituale vigente”, organizzato dalla Segreteria di lingua spagnola d…

Esorcisti: Aie, corsi di formazione in Argentina e Brasile con 144 partecipanti - AgenSIR

Riccardo Benotti (AgenSIR)

friendica (DFRN) - Collegamento all'originale
Di fronte al flusso quotidiano di notizie che descrivono le ferite del nostro mondo – dallo strazio di Gaza alla dolorosa resistenza ucraina – il Movimento ecclesiale carmelitano rompe il silenzio su una drammatica escalation di violenza in Africa, i…

Nigeria: p. Silvestri (Mec), “non possiamo e non vogliamo tacere” su rapimenti e violenza islamista. Il 30 novembre preghiera per i cristiani perseguitati - AgenSIR

Alberto Baviera (AgenSIR)

friendica (DFRN) - Collegamento all'originale
Al termine dell'udienza di oggi, il Papa ha annunciato ai fedeli la partenza per il suo primo viaggio apostolico, che lo porterà in Turchia e Libano da domani fino al 2 dicembre.

Udienza generale. Papa Leone XIV, “domani mi recherò in Turchia e in Libano” - AgenSIR

Marco Calvarese (AgenSIR)

friendica (DFRN) - Collegamento all'originale
Dal 27 al 30 novembre 2025 si terrà a Roma, presso la Casa “San Juan de Avila”, il XIX Congresso nazionale del Movimento apostolico ciechi (Mac), dedicato al tema “La speranza siamo noi quando testimoniamo l’amore di Cristo”.

Associazioni: XIX Congresso nazionale del Mac dal 27 al 30 novembre a Roma - AgenSIR

Riccardo Benotti (AgenSIR)

friendica (DFRN) - Collegamento all'originale
“Il risultato del 2024, con un avanzo complessivo di 1,6 milioni di euro e un recupero così significativo rispetto all’anno precedente, è certamente un segnale molto positivo.

Bilancio Santa Sede: Caballero Ledo, “sostenibilità finanziaria è condizione necessaria per garantire continuità alla missione” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
La Segreteria per l'Economia ha pubblicato oggi il Bilancio Consolidato 2024 della Santa Sede, che evidenzia un avanzo di 1,6 milioni di euro, segnando “un significativo recupero” rispetto al disavanzo di 51,2 milioni di euro registrato l'anno preced…

Bilancio Santa Sede: nel 2024 un avanzo di 1,6 milioni di euro - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
A margine dell'udienza di oggi una delegazione dell'Istituto Universitario Salesiano di Venezia (Iusve) aggregato all’Università Pontificia Salesiana, ha fatto ascoltare a Papa Leone XIV la "Voce del mondo", realizzata attraverso "Harmonia" (harmonia…

Leone XIV: delegazione Iusve gli consegna la “Voce del mondo” per la pace creata grazie ad IA - AgenSIR

Daniele Rocchi (AgenSIR)

friendica (DFRN) - Collegamento all'originale
Il Settore Centro “si aggiunge nuovamente” agli altri quattro settori della diocesi di Roma. A stabilirlo è Papa Leone XIV, con un apposito motu proprio diffuso oggi.

Leone XIV: il settore centro “si aggiunge nuovamente” agli altri quattro settori della diocesi di Roma - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
Il 14 dicembre, terza domenica di Avvento, in occasione del Giubileo dei Detenuti, alle 10, il Papa presiederà la celebrazione eucaristica nella basilica di San Pietro. Lo rende noto oggi la Sala Stampa della Santa Sede.

Leone XIV: il 14 dicembre presiede la messa per il Giubileo dei detenuti - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale

EU-Rat einigt sich zur Chatkontrolle: Schlimmster Giftzahn gezogen, aber weiterhin gefährlich

netzpolitik.org/2025/eu-rat-ei…

friendica (DFRN) - Collegamento all'originale

Cosa insegnano le rivelazioni sui colloqui tra Pechino e Washington sull’Ucraina

Una cosa è ritenere che l’amministrazione statunitense faccia il gioco della Russia, un’altra è vederlo scritto nero su bianco. Leggi
Pierre Haski (Internazionale)

friendica (DFRN) - Collegamento all'originale

Uganda: il land grabbing è una nuova minaccia per i pastori della Karamoja


@Notizie dall'Italia e dal mondo
Indice Il land grabbing è oggi una delle minacce principali per le comunità di pastori seminomadi della Karamoja, regione nel nord-est dell’Uganda. Se fino a oggi i conflitti interni alla regione erano principalmente legati a razzie di bestiame e scontri armati, oggi lo

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale
“Uno strumento prezioso per il Dicastero per i laici, la famiglia e la vita: ci permetterà di offrire ai Vescovi, ai Movimenti ecclesiali, alle Associazioni di fedeli e agli animatori di pastorale giovanile e familiare, importanti linee di riflession…

Nota “Una caro”: card. Farrell (Dic. laici), “strumento prezioso per linee di riflessione sulla pienezza dell’amore umano” - AgenSIR

Riccardo Benotti (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Frontex und Europol: Zwei EU-Agenturen sollen bei der Drohnenabwehr helfen

netzpolitik.org/2025/frontex-u…

friendica (DFRN) - Collegamento all'originale

Esordio fantasy per Southern. “L’Ombra del Corvo” arriva nelle sale l’11 dicembre

[quote]LONDRA – Dopo la prima mondiale alla Berlinale, L’ombra del corvo arriva nelle sale l’11 dicembre. Il nuovo film di Dylan Southern, tratto dal romanzo di Max Porter Il dolore…
L'articolo Esordio fantasy per Southern. “L’Ombra del Corvo” arriva nelle sale l’11 dicembre su