In un nuovo report, Zscaler ThreatLabz ha rivelato i dettagli di una nuova famiglia di malware chiamata YiBackdoor, osservata per la prima volta nel giugno 2025.

Fin dall’inizio, l’analisi ha evidenziato corrispondenze significative del codice sorgente con i downloader IcedID e Latrodectus, ed è proprio questa connessione che Zscaler indica come fondamentale per comprendere la possibile origine e il ruolo del nuovo campione negli attacchi.

Il malware è una libreria DLL modulare con un set base di funzioni di controllo remoto dell’host e un meccanismo di estensione basato su plugin. Di default, le funzionalità sono limitate, ma gli aggressori possono caricare moduli aggiuntivi per espanderne le capacità.

Il programma si copia in una cartella appena creata con un nome casuale, ottiene la persistenza tramite il tasto Esegui di Windows e avvia regsvr32.exe con un percorso dannoso.

Il nome della voce di registro viene generato utilizzando un algoritmo pseudo-casuale. Il modulo primario si autodistrugge, complicando le misure di risposta e l’analisi forense. La logica dannosa viene eseguita tramite una configurazione crittografata incorporata, da cui viene estratto l’indirizzo del server di comando e controllo, e la comunicazione con il C2 avviene tramite risposte HTTP contenenti comandi.

Le funzionalità di YiBackdoor includono la raccolta di metadati di sistema, l’acquisizione di screenshot e l’esecuzione di comandi shell tramite cmd.exe e PowerShell, nonché il caricamento e l’inizializzazione di plugin crittografati in Base64. I comandi chiave identificati nel meccanismo di controllo sono elencati di seguito: Systeminfo, screen, CMD, PWS, plugin e task. La tecnica di iniezione di codice prevede l’iniezione nel processo svchost.exe e le tecniche di anti-analisi integrate sono focalizzate sul rilevamento di macchine virtuali e sandbox, riducendo la probabilità di rilevamento durante l’analisi in un ambiente protetto.

Gli analisti di Zscaler notano diverse somiglianze con IcedID e Latrodectus: un metodo di iniezione simile, formato e lunghezza identici della chiave di decrittazione della configurazione e algoritmi simili per la decrittazione dei blocchi di configurazione e dei plugin. Date queste somiglianze e l’architettura osservata, i dipendenti dell’azienda valutano con un livello di sicurezza da moderato ad alto che YiBackdoor possa essere opera degli stessi sviluppatori responsabili dei precedenti downloader. Tuttavia, le implementazioni attuali sono limitate, il che indica una fase di sviluppo o test e il potenziale ruolo del campione come precursore di successive fasi di sfruttamento, inclusa la preparazione dell’accesso iniziale per il ransomware.

L’organizzazione sottolinea l’importanza di monitorare le richieste HTTP in uscita e le modifiche al registro, nonché di implementare regole di rilevamento incentrate su indicatori comportamentali di iniezioni di svchost.exe e anomalie associate all’avvio di regsvr32.exe da percorsi casuali. Questi indicatori consentono il rilevamento tempestivo dei tentativi di iniezione di YiBackdoor e la prevenzione di ulteriori attività da parte degli aggressori.

L'articolo Arriva YiBackdoor: cosa c’è da sapere e come difendere la rete proviene da il blog della sicurezza informatica.

Qui l’appello per la raccolta firme online e le piazze al centro dell’iniziativa

Solo 2 regioni (Lazio ed Emilia-Romagna) applicano le linee di indirizzo ministeriali sull’aborto farmacologico del 2020, rendendo possibile prendere il secondo farmaco a casa

Partita lo scorso maggio, la campagna la campagna Aborto senza ricovero dell’Associazione Luca Coscioni arriva in 30 città con l’obiettivo di deospedalizzare l’aborto farmacologico, portandolo in consultorio o poliambulatorio, garantendo alle donne la possibilità di prendere il secondo farmaco, il misoprostolo, a casa. La deospedalizzazione garantisce il diritto di scelta delle donne e permette di limitare i costi, evitando lo spreco di risorse preziose.

Sebbene in Italia sia possibile dal 2020, grazie all’aggiornamento delle linee di indirizzo ministeriali, questa possibilità è davvero garantita solo in due Regioni, il Lazio e l’Emilia-Romagna. L’ostilità verso l’aborto farmacologico e verso la sua deospedalizzazione, che semplifica la procedura e ne riduce i costi, è puramente ideologica e viola un principio fondamentale delle politiche di salute pubblica, quello dell’appropriatezza delle prestazioni: a parità di efficacia e sicurezza, se la persona assistita lo permette o lo richiede, deve essere ammesso e privilegiato il setting assistenziale meno costoso.

L’aborto farmacologico è sicuro ed efficace. Il ricovero non ne aumenta la sicurezza, ma ne moltiplica i costi Se nel Lazio il rimborso della procedura ambulatoriale è di circa 75 euro, cioè il costo dei farmaci, il rimborso previsto dalla Regione Veneto per l’aborto farmacologico in ospedale è di 205 euro ad accesso, ossia da 410 a 6015 euro.

Alla campagna hanno aderito la Casa Internazionale delle Donne, Una Nessuna Centomila, Crisi Come Opportunità, Cgil Area stato sociale e diritti, Coordinamento Nazionale Pari Opportunità UIL, UAAR, AIED, Associazione italiana per l’educazione demografica, Medici nel Mondo e Medici senza Frontiere (l’elenco completo è QUI).

Venerdì 26, sabato 27 e domenica 28 settembre saremo in molte piazze italiane per una mobilitazione nazionale (qui tutte le informazioni e i tavoli).

La mobilitazione nazionale chiede garantire per tutte le donne, in tutte le Regioni, l’aborto farmacologico in consultorio o in poliambulatorio, con la possibilità di prendere il secondo farmaco a domicilio. L’accesso all’interruzione volontaria di gravidanza non può dipendere dal luogo di residenza.

“Sprecare risorse è inaccettabile, soprattutto in un contesto come quello sanitario. Così come è inaccettabile negare alle donne il diritto di scegliere la procedura farmacologica e l’autosomministrazione del secondo farmaco a casa”, hanno detto Filomena Gallo, avvocata e segretaria nazionale dell’Associazione Luca Coscioni, e Chiara Lalli, bioeticista e consigliera generale. “Come sempre, la condizione necessaria dell’esercizio di un diritto e di una scelta è l’informazione. La nostra campagna ‘Aborto senza ricovero’ vuole anche contribuire alla corretta informazione sull’applicazione della 194 e sulla salute riproduttiva”.

“L’appropriatezza delle prestazioni sanitarie è un principio fondamentale della sanità pubblica. Un ricovero non necessario comporta un inaccettabile spreco di risorse pubbliche ed è potenzialmente pericoloso per la salute”, hanno dichiarato Mirella Parachini e Anna Pompili, ginecologhe, vicesegretaria, la prima, e consigliera generale, la seconda, dell’Associazione Luca Coscioni. “Gli ostacoli alla deospedalizzazione sono esclusivamente ideologici”.

L'articolo Dal 26 a 28 settembre, la campagna “Aborto senza ricovero” sarà in 30 piazze proviene da Associazione Luca Coscioni.

Nei mesi di agosto e settembre l’Associazione Luca Coscioni ha ricevuto alcune segnalazioni dal carcere di Badu ‘e Carros che chiamavano in causa la qualità dell’offerta socio-sanitaria nell’istituto, tra cui la sua stessa agibilità. Nelle denunce pubbliche che ne erano seguite l’Associazione aveva invitato a segnalare al portale di whistleblowing FreedomLeaks.org eventuali ulteriori manchevolezze.

In questi giorni al sito sono arrivate nuove segnalazioni di negligenza amministrativa. Infatti, nonostante ripetute richieste, per mesi sarebbero state negate le dovute cure odontoiatriche alle persone ristrette provocando un forte deterioramento delle condizioni di salute degli interessati. Quando le prestazioni mediche sono state fornite, dopo gli appelli degli avvocati e del garante dei detenuti, queste non sarebbero state adeguate al trattamento delle patologie per cui erano necessarie.

A seguito di un periodo di 20 giorni in isolamento, la direzione dell’istituto avrebbe infine sospeso l’accesso ai contatti telefonici con i famigliari di un detenuto, nonostante il termine del regime di sorveglianza particolare. Ai problemi sanitari e di contatto con la famiglia, si aggiungerebbe la mancata prosecuzione del percorso di studi di almeno una persona ristretta.

Quanto appena descritto avviene in un contesto generale delle carceri italiane che si caratterizza per una ingiustificata carenza di idonee strutture sanitarie e di condizioni igieniche fortemente degradanti, criticità già denunciate pubblicamente dall’Associazione Luca Coscioni e per le quali ad oggi non risultano ancora attuati risolutivi interventi di manutenzione e sanificazione.

Per questi motivi l’Associazione Luca Coscioni invita ancora una volta le competenti autorità sanitarie a predisporre visite di controllo e ad attivarsi affinché l’offerta terapeutica garantisca il pieno diritto alla salute dei detenuti. In mancanza di ciò annuncia sin d’ora una diffida rivolta all’amministrazione penitenziaria della struttura di Badu ‘e Carros ad ottemperare a quanto previsto dall’ordinamento sanitario.

L’Associazione ricorda che al portale report.freedomleaks.org è possibile segnalare le problematiche riscontrate negli istituti penitenziari in modo sicuro e anonimo.

L'articolo La ASL effettui visita a Badu ‘e Carros o scatta diffida proviene da Associazione Luca Coscioni.

If you know anything about Mickey Mouse, you’ll be able to tell us that his first outing was in 1928’s Steamboat Willie — an animated short that sees our hero as the hapless pilot of a riverboat battling an assortment of animals and his captain. It entered the public domain last year, meaning that it and the 1928 incarnation of Mickey are now free of any copyright obligation to the media giant.

There’s an interesting development from Florida on that front though as it seems Disney may have been testing this through legal means, and now a law firm wants to see them in court over their proposed use of the film in an advert.

Of course here at Hackaday we don’t cover the dry subject of Florida legal news as a rule, but we are interested in the world of copyright as it applies to many other things that do come under our eye. As we understand it the law firm is requesting the judge assert their protection from trademark claims over the use of Disney’s 1928 Willie, given that there have been claims from the entertainment giant against others doing the same thing.

It’s hardly surprising that a large corporation might seek to use legal muscle and trademark law to de facto extend the term of Mickey’s protection beyond the defined copyright expiration date, so for once it’s refreshing to see them come up against someone unafraid of a courtroom.

We hope that common sense will prevail, and this undermining of a cherished right (not to mention prior case law) is not allowed to succeed. Meanwhile if you’d like a 1928 Mickey that Disney have shied away from coming after, look no further than the EFF.

hackaday.com/2025/09/26/steamb…

La polizia olandese ha fermato due ragazzi di 17 anni sospettati di attività di spionaggio, con possibili collegamenti alla Russia, secondo quanto riportato venerdì dal quotidiano Telegraaf.

Il padre di uno dei giovani ha dichiarato che il figlio sarebbe stato reclutato tramite Telegram da un hacker filo-russo. Ad agosto, il ragazzo si sarebbe recato davanti agli uffici di Europol, Eurojust e all’ambasciata canadese all’Aia trasportando un cosiddetto “wifi sniffer”, uno strumento in grado di individuare reti wireless vicine e intercettarne i dati.

Il pubblico ministero non ha fornito commenti ufficiali sul caso, citando la giovane età dei sospettati. È stato tuttavia confermato che uno dei due resterà in custodia per ulteriori due settimane, mentre l’altro è stato posto agli arresti domiciliari con obbligo di braccialetto elettronico.

Secondo il genitore del principale sospettato, lunedì pomeriggio otto uomini con passamontagna hanno fatto irruzione nella loro abitazione con un mandato di perquisizione. Gli agenti hanno raggiunto direttamente la stanza dove il ragazzo stava facendo i compiti, portandolo via senza ulteriori spiegazioni, limitandosi a parlare di “spionaggio” e “servizi a un paese straniero”.

Il padre ha descritto il figlio come una persona riservata, appassionata di videogiochi e con ottime competenze informatiche, che lavora part-time in un supermercato e non manifesta interesse per esperienze all’esterno. Gli arresti sono stati effettuati a seguito di informazioni fornite dai servizi di intelligence olandesi (AIVD).

Sebbene casi simili non siano mai stati resi pubblici nei Paesi Bassi, in Germania il governo ha già avviato campagne di sensibilizzazione rivolte ai giovani per prevenire il loro coinvolgimento in attività di spionaggio come “agenti usa e getta”.

L'articolo Arrestati due ragazzi olandesi sospettati di spionaggio con legami alla Russia proviene da il blog della sicurezza informatica.

Although ham radio offers a wide array of bands to transmit on, not to mention plenty of modes to communicate with, not everyone wants or needs to use all of this capability. For those needing simple two-way communication services like FRS or GMRS are available (in North America) with much less stringent licensing requirements, and GMRS even allows repeaters to be used to extend their range beyond the typical mile or so. [Dave] aka [N8DAV] has built an off-grid simplex repeater that can travel around with him wherever he goes.

The repeater itself is based on a pre-built simplex repeater module, which means that it has to record an incoming signal and then play it back on the same frequency. Compared to a split frequency repeater which uses different frequencies for transmit and receive this can be a bit cumbersome but simplifies the design and the use. A Baofeng UV-5R is used to perform the actual radio duties paired to a 40 watt amplifier to extend the range as much as possible. It’s all packed into a Pelican-like case and set up with a large battery that could power it for a number of days, making it useful for camping, rescue, or other off-grid activities.

For those wondering why [Dave] is using his ham call sign instead of his GMRS one, all of the equipment in this build will work in either the UHF ham bands or the channels reserved for GMRS with minor adjustments, so it’s perfectly possible to use the setup for one’s preferred license. And, for those in other parts of the world without GMRS there’s a similar class of radio called UHF CB which might be able to support similar builds, but be sure to check your local jurisdiction’s laws before hooking something like this up. For an even longer-range radio repeater using similar equipment we’d recommend looking to the skies.

youtube.com/embed/_S3fQOkPa9s?…

Thanks to [Red] for the tip!

hackaday.com/2025/09/26/a-ham-…