Le operazioni finalizzate alla diffusione di malware non sempre vengono condotte con la necessaria attenzione. Il CERT-AGID ha già registrato in passato e-mail contenenti malware il cui meccanismo di attivazione si è rivelato difettoso. Questi messaggi presentano allegati pericolosi che, sebbene vengano aperti, non riescono a compromettere i dispositivi delle vittime.

In alcuni casi, questo può essere attribuito a distrazioni da parte degli autori. In altre circostanze, i malfattori non riescono a integrare correttamente i vari strumenti acquistati come MaaS (Malware as a Service), commettendo errori nel collegamento dei diversi componenti, come dimostrato dagli eventi verificatisi di recente.

Nei primi giorni della scorsa settimana, il CERT-AGID ha rilevato una campagna malevola veicolata massivamente tramite email, in cui l’allegato non riusciva ad attivare la catena di compromissione a causa dell’assenza di un elemento indispensabile: una stringa "[strong]FjDyD6U[/strong]" utilizzata come delimitatore per estrarre i byte corretti necessari alla generazione di un nuovo file eseguibile.

In effetti, sebbene varie sandbox online lo identifichino come malevolo, il malware non genera alcun traffico di rete e nessuna sandbox è riuscita a determinare il nome della famiglia di appartenenza. Nel fine settimana, gli autori della campagna hanno rivisto la loro strategia, ripetendo l’attacco con un malware che questa volta funzionava correttamente.

Analisi del binario

Il campione analizzato è un file .NET che include codice opportunamente cifrato con AES. La chiave e l’IV necessari per la decifratura vengono estratti dai byte in sequenza, separati dal delimitatore X8mnGBm come possiamo osservare dalla funzione smethod_0.

Questa volta il delimitatore era presente, il che ha reso relativamente semplice l’estrazione delle informazioni necessarie: chiave, IV e codice da decifrare.

Utilizzando Cyberchef, è stato possibile decifrare agevolmente le stringhe e ottenere l’eseguibile che il loader carica direttamente in memoria, senza lasciare alcuna traccia sul disco.

Il binario ottenuto è un malware già noto: si tratta di AgentTesla, che da oltre due anni si posiziona tra i dieci infostealer più diffusi in Italia.

AgentTesla cambia loader con una certa frequenza e, sebbene solitamente utilizzi codice memorizzato nelle risorse, questa volta è stato osservato un nuovo metodo che impiega tecniche di cifratura avanzate per caricare il payload direttamente in memoria, rendendo più difficile la sua rilevazione e analisi.

L'articolo Anche i Criminali Informatici sbagliano! Il malware che non funziona scoperto dal CERT-AgID proviene da il blog della sicurezza informatica.

Aluminium drinks cans make a great source of thin sheet metal which can be used for all manner of interesting projects, but it’s safe to say that retrieving a sheet of metal from a can is a hazardous process. Cut fingers and jagged edges are never far away, so [Kevin Cheung]’s work in making an easy can cutter is definitely worth a look.

Taking inspiration from a rotary can opener, he uses a pair of circular blades in an adjustable injection moulded plastic frame. If you’ve used a pipe cutter than maybe you are familiar with the technique, as the blade rotates round the can a few times it slowly scores and cuts through the metal. Doing the job at both ends of the can reveals a tube, which cna be then cut with scissors and flattened to make a rectangular metal sheet. Those edges are probably sharp, but nothing like the jagged finger-cutters you’d get doing the same by hand. The full video can be seen below the break, and the files to 3D print the plastic parts of the cutter can be found at the bottom of a page describing the use of cans to make a shingle roof.

youtube.com/embed/2-qXKC914gM?…

hackaday.com/2024/12/02/from-c…

Un post recentemente scoperto nel forum underground XSS, noto per la sua connessione con la criminalità informatica, ha messo in luce un esempio lampante del mercato clandestino che coinvolge i dati sensibili. L’annuncio, redatto all’interno del forum in lingua russa, presenta una richiesta urgente da parte di un utente che cerca di acquistare log di accesso a portali di medici italiani, nello specifico per tre domini italiani, utilizzati per la gestione di prescrizioni e altri dati sanitari.

Il post, scritto dall’utente “Nailpower”, offre una ricompensa economica per “log” di accesso singolari che funzionino correttamente, con una condizione chiara: la transazione deve avvenire tramite escrow, un meccanismo di protezione che garantisce la sicurezza del pagamento solo dopo che il prodotto è stato ricevuto.

Questa è una tecnica comune utilizzata nel mercato underground per ridurre i rischi di frode durante lo scambio di informazioni illecite.

Ecco perché la Cyber Threat Intelligence è cruciale: questa disciplina permette di monitorare le fonti underground per ottenere un vantaggio strategico. Seguire il post per questi tre domini ed interagire con i criminali consente di comprendere le motivazioni dietro determinati annunci, offrendo la possibilità di anticipare e mitigare potenziali attacchi informatici.

La Pratica del Mercato Underground

Questo tipo di attività rientra in un ampio fenomeno che coinvolge il traffico di dati rubati e la compravendita di accessi (infostealer) a piattaforme online, che va ben oltre il semplice furto di credenziali. I criminali informatici non solo rubano i dati sensibili da aziende o enti pubblici, ma entrano anche nel mercato illegale richiedendo l’accesso a portali specifici, come nel caso di medici italiani. Questi dati possono includere informazioni personali, numeri di previdenza sociale, ricette mediche e altri dettagli protetti, rendendoli estremamente preziosi per attività fraudolente.

Le transazioni di dati sensibili vengono spesso regolate e negoziate nei forum underground, dove gli utenti, sia venditori che acquirenti, stabiliscono i termini e le condizioni delle operazioni, talvolta con l’ausilio di intermediari che garantiscono la correttezza delle transazioni. Questi ambienti sono anche frequentati da attori statali e gruppi di hacker altamente specializzati, che operano in maniera sistematica per rubare e rivendere dati.

I Dati Dei Medici Italiani: Un Target Prezioso

I medici e gli ospedali sono diventati obiettivi sempre più frequenti per i cybercriminali, che cercano di ottenere accesso a sistemi che archiviano informazioni estremamente sensibili. In Italia, come in molti altri paesi, i sistemi sanitari digitalizzati sono un terreno fertile per il crimine informatico, poiché contengono non solo dati sanitari cruciali, ma anche informazioni finanziarie e assicurative dei pazienti.

L’acquisto e la vendita di accessi a questi portali attraverso forum come XSS non sono solo una pratica criminale, ma anche un settore in continua espansione, che alimenta un vero e proprio mercato parallelo. La connessione tra la criminalità informatica e il settore sanitario rappresenta una minaccia crescente per la privacy dei cittadini e per la sicurezza dei dati sensibili.

Conclusioni

Il mercato illegale che emerge dai forum underground come XSS rivela una realtà preoccupante: la criminalità informatica non si limita al furto di dati, ma regola un intero sistema di scambi illegali di informazioni sensibili. Il caso specifico dei log degli accessi ai portali sanitari italiani è solo un esempio di come i cybercriminali stiano cercando di sfruttare le vulnerabilità per profitto, mettendo a rischio la sicurezza dei cittadini e la privacy delle informazioni personali. È essenziale che le istituzioni e le aziende intensifichino gli sforzi per proteggere i dati sensibili e per combattere con determinazione questo mercato illecito.

L'articolo Cercasi Dati Dei Medici Italiani per Illeciti! La Domanda e l’Offerta Nelle Underground proviene da il blog della sicurezza informatica.

Solderless breadboards are a fantastic tool for stirring the creative juices. In a few seconds, you can go from idea to prototype without ever touching the soldering iron. Unfortunately, the downside to this is that projects tend to expand to occupy all the available space on the breadboard, and the bench surrounding the project universally ends up cluttered with power supplies, meters, jumpers, and parts you’ve swapped in and out of the circuit.

In an attempt to tame this runaway mess, [Raph] came up with this neat modular breadboard system. It hearkens back to the all-in-one prototyping systems we greatly coveted when the whole concept of solderless breadboards was new and correspondingly unaffordable. Even today, combination breadboard and power supply systems command a pretty penny, so rolling your own might make good financial sense. [Raph] made his system modular, with 3D-printed frames that lock together using clever dovetail slots. The prototyping area snaps to an instrumentation panel, which includes two different power supplies and a digital volt-amp meter. This helps keep the bench clean since you don’t need to string leads all over the place. The separate bin for organizing jumpers and tidbits that snaps into the frame is a nice touch, too.

Want to roll your own? Not a problem, as [Raph] has thoughtfully made all the build files available. What’s more, they’re parametric so you can customize them to the breadboards you already have. The only suggestion we have would be that making this compatible with [Zack Freedman]’s Gridfinity system might be kind of cool, too.

hackaday.com/2024/12/02/modula…

When we saw [Max.K]’s automatic NiMh battery charger float past in the Hackaday tips line, it brought to mind a charger that might be automatic in the sense that any modern microcontroller based circuit would be; one which handles all the voltages and currents automatically. The reality is far cooler than that, a single-cell charger in which the automatic part comes in taking empty cells one by one from a hopper on its top surface and depositing them charged in a bin at the bottom.

Inside the case is a PCB with an RP2040 that controls the whole shop as well as the charger circuitry. A motorised cam with a battery shaped insert picks up a cell from the bin and moves it into the charger contacts, before dumping it into the bin when charged. What impresses us it how slick this device is, it feels like a product rather than a project, and really delivers on the promise of 3D printing. We’d want one on our bench, and after watching the video below the break, we think you will too.

youtube.com/embed/S9PUO_Uw158?…

hackaday.com/2024/12/02/the-au…

“Faccio parte di un’organizzazione giornalistica, di coloro che hanno fiducia nel giornalismo. Il giornalismo oggi non è più quello che era, sta scomparendo. Il potere del giornalismo si sta erodendo e probabilmente morirà. Questa è la dura realtà che ci occorre affrontare. Nelle nostre società, in occidente, il giornalismo è sotto attacco, la verità è […]

freeassangeitalia.it/intervent…

In violazione delle leggi sulla segregazione, a Montgomery, in Alabama, Stati Uniti, Rosa Parks, una attivista dei diritti civili, si rifiutò di cedere il suo posto sull'autobus a un passeggero bianco e fu arrestata, innescando un boicottaggio degli autobus di 381 giorni guidato da Martin Luther King, Jr.
@Storia
#otd

Entriamo nei dettagli di una notizia ampiamente ripresa da organi di informazione in Italia.
Le autorità hanno smantellato una rete di streaming illegale, chiudendo uno dei più grandi servizi di questo tipo nel mondo. #Eurojust ed #Europol hanno sostenuto l'operazione, che ha comportato la cooperazione tra autorità italiane, croate, olandesi, rumene, svedesi, svizzere e britanniche. In un'operazione su larga scala, sono state condotte oltre 100 perquisizioni contro 102 sospetti. Undici sospetti sono stati arrestati in Croazia.

Gli indagati hanno distribuito illegalmente materiale dai servizi di streaming online, inclusi film e serie. Hanno anche piratato oltre 2 500 canali televisivi come i canali sportivi. Il servizio illegale ha servito oltre 22 milioni di utenti in tutto il mondo. Sono stati in grado di realizzare oltre 250 milioni di euro di profitti illegali al mese. I danni economici ai titolari del copyright del materiale sono stimati in 10 miliardi di euro.

Per eludere le autorità, gli indagati hanno presumibilmente utilizzato servizi di messaggistica crittografata per comunicare e false identità per registrare numeri di telefono, carte di credito, noleggi di server e abbonamenti televisivi. Il 26 novembre, durante un'operazione internazionale, i server che ospitavano lo streaming illegale sono stati sequestrati e chiusi, interrompendo i servizi.

La collaborazione tra le autorità è stata istituita presso Eurojust per eliminare il servizio di streaming. Le riunioni di coordinamento presso la sede di Eurojust hanno consentito alle autorità di Italia, Croazia, Paesi Bassi, Romania, Svezia, Svizzera e Regno Unito di collaborare alle indagini e pianificare l'operazione per chiudere il servizio e arrestare gli indagati. Europol ha sostenuto l'operazione implementando esperti e analizzando l'intelligence disponibile durante la fase dell'indagine.

La cooperazione tra le autorità è culminata in un'operazione congiunta per la chiusura dei servizi il 26 novembre. Durante le perquisizioni in Italia, Paesi Bassi, Svezia, Svizzera, Romania, Croazia, Regno Unito e Cina, sono stati sequestrati oltre 1,6 milioni di Euro in criptovaluta e 40 000 Euro in contanti. La polizia croata ha arrestato 11 sospetti.

Oltre al crimine di proprietà intellettuale (infrazione al diritto d'autore), ci sono indizi di ulteriori crimini, come il riciclaggio di denaro e la criminalità informatica.

L'autorità coinvolta nelle attività per l'Italia è stata la Procura della Repubblica Catania

#proprietàintellettuale
#dirittodautore

@Notizie dall'Italia e dal mondo