As a general concept, fault injection is a technique that studies how a system reacts to unusual or unexpected external forces. The idea is that, if you can trigger a glitch at the precise moment, you might be able to use that to your advantage in disabling security features or otherwise gaining further access to the device in question. In the hardware world, this could be achieved by fiddling with the power going into the device, or subjecting it to extreme temperatures.

We’ve covered voltage glitching attacks on these pages in the past, but most of the tools used are fairly expensive if you’re not doing this kind of thing professionally. Luckily for us, [Aditya Patil] has developed a fault injection tool that can run on a standard ESP8266 development board. Obviously it’s not as capable as a bespoke device costing hundreds of dollars, but if you just want to experiment with the concept, it’s a fantastic way to wrap your head around it all.

Now to be clear, the ESP8266 alone isn’t able to generate the sort of high-voltage spikes that are often used to glitch out a chip. The idea with this project is that the ESP would serve as the programmable timer used to trigger a high voltage generator or other nefarious piece of kit. That said, if you’ve got something low power enough that could get confused by rapidly having ~3 V applied to its power rails, in theory you could use the dev board without any additional hardware — though we’d strongly recommend at least throwing a MOSFET between the ESP and whatever you’re harassing.

With the firmware flashed to the ESP8266, plugging the board into your computer will provide you with a serial interface through which the software can be configured and attacks can be launched. While this interactive menu system is nice, and reminds us a bit of the Bus Pirate, [Aditya] also provides an example Python script that will let you fire commands at the system far faster than you could type them out.

If you’re looking for more capability, something like the PicoGlitcher would probably be the next step up, but if you want to really dive into the deep-end, the ChipWhisperer line of devices from [Colin O’Flynn] are really where it’s at. Check out the fascinating talk he gave about voltage glitching during the 2021 Remoticon if you’d like to learn more about the technique.

hackaday.com/2025/01/15/using-…

DOOM is a classic game to implement on a variety of platforms, but doompdf by [ading2210] is one we didn’t see coming. It runs a bit slow and controls are a little awkward but it does run. Entirely within a PDF file, at that.

How is this possible? PDFs are technically capable of much more than just displaying static content, and support JavaScript with their own library of functions. Adobe Acrobat implements the full spec, but modern web browsers implement at least a subset of the functionality in a sandboxed JavaScript runtime environment. Input and output are limited to things one might expect from a fancy PDF form (text input boxes, clickable buttons, things of that nature) but computation-wise, just about anything goes.

The playable DOOM PDF therefore implements keyboard input by reading characters typed into a text entry box, or has the user click buttons with the mouse. It’s not the smoothest of input methods but it’s gloriously hacky. What’s even better is the video output, which is essentially ASCII-art video frames. Zoom in and you’ll see for yourself! It’s not the fastest frame rate, but it’s fantastic all the same.
As shown by zooming in, video frames are rendered as rows of ASCII. It’s enough to implement 6-color monochrome and make in-game text legible.
This project was partly inspired by Tetris in a PDF which demonstrated a lot of the concepts used, and if you like electronic document related shenanigans, be sure to check out playing chess against your printer with PostScript. PostScript is actually a fully functional interpreted language, but unlike JavaScript it was never intended to be used directly by humans.

Thanks to everyone who sent this to our tips line!

hackaday.com/2025/01/15/nice-p…

Il collettivo di hacktivisti noto come DarkBit ha recentemente sferrato un attacco ransomware contro l’Ashkelon Academic College (AAC), una delle principali istituzioni accademiche israeliane. In un comunicato rilasciato pubblicamente, il gruppo ha dichiarato che l’operazione è parte di una campagna più ampia per promuovere un cambiamento sociale e politico in Israele, puntando il dito contro la comunità Haredi e la loro esenzione dal servizio militare obbligatorio.

Il college ha due facoltà, la School of Economics and Social Work, per gestione, logistica, banca e contabilità, in cui si svolgono studi universitari e post-laurea , e la School of Health Sciences, per studi universitari in nutrizione, infermieristica e salute pubblica. Il college offre programmi di studi universitari nei campi della politica e del governo , dell’informatica , della sociologia e dell’antropologia , della psicologia , della criminologia , degli studi sulla Terra d’Israele , del turismo e degli studi multidisciplinari nelle scienze sociali.

Il Comunicato di DarkBit: Una Missione Ideologica

Nel messaggio, DarkBit afferma che l’attacco mira a denunciare quella che definiscono un’ingiustizia sociale all’interno della società israeliana. Secondo il gruppo, la comunità Haredi e i loro sostenitori devono essere integrati nelle leggi civili del paese, incluso il servizio militare.

La retorica utilizzata dal collettivo richiama esplicitamente il concetto di uguaglianza, condannando una presunta disparità che definiscono come una “regola della Fattoria degli Animali” – un riferimento all’opera di George Orwell.
Rivendicazione dell’attacco sul profilo Telegram di Darkbit

DarkBit: Un Profilo di Hacktivismo Ransomware

DarkBit si distingue nella scena cybercriminale per la combinazione di motivazioni ideologiche e tattiche di estorsione. Il gruppo non è nuovo a operazioni di questo tipo e ha già dimostrato di saper sfruttare vulnerabilità tecnologiche per perseguire obiettivi politici e sociali. La loro strategia unisce le tecniche tradizionali dei gruppi ransomware, come il blocco dei sistemi e la richiesta di riscatto, a messaggi pubblici che mirano a mobilitare l’opinione pubblica e a fare pressione sui loro obiettivi.

Implicazioni per la Cybersecurity e il Contesto Geopolitico

L’attacco di DarkBit sottolinea la crescente minaccia degli hacktivisti nell’era digitale. Non si tratta solo di crimine informatico tradizionale, ma di operazioni che fondono ideologia, geopolitica e tecnologia per ottenere visibilità e risultati concreti. Nel caso di Israele, dove la tensione tra gruppi laici e religiosi è già un tema di dibattito, questi attacchi possono amplificare divisioni interne e creare ulteriore instabilità.

Gli attacchi ransomware come quello di DarkBit evidenziano la necessità di rafforzare le difese informatiche, specialmente per le istituzioni educative e governative, che spesso diventano bersagli strategici per gruppi cybercriminali e hacktivisti. La comunità internazionale della cybersecurity è chiamata a collaborare per affrontare queste minacce in modo più efficace.

L'articolo DarkBit Scrive a RHC le Motivazione dell’Attacco all’Ashkelon Academic College proviene da il blog della sicurezza informatica.

L’anno nuovo si apre con una ventata di sicurezza: Microsoft ha rilasciato il primo Patch Tuesday del 2025, mettendo a segno un imponente aggiornamento che affronta 159 vulnerabilità, di cui 10 classificate come critiche e ben 8 zero-day. Tre di queste ultime risultavano già attivamente sfruttate, evidenziando l’urgenza di applicare subito le patch.

Zero-day:

Tra le vulnerabilità zero-day spiccano:

• Windows Hyper-V (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335): falle che consentono agli attaccanti di ottenere privilegi SYSTEM, garantendo un controllo totale sui sistemi colpiti.
• Microsoft Access Remote Code Execution (CVE-2025-21366, CVE-2025-21395, CVE-2025-21186): vulnerabilità che permettevano l’esecuzione di codice malevolo da remoto, ora mitigate tramite il blocco di alcune estensioni di file.
• Windows App Package Installer (CVE-2025-21275): una criticità che permetteva l’escalation dei privilegi, dando maggiore controllo agli attaccanti su un sistema compromesso.
• Windows Themes Spoofing (CVE-2025-21308): apparentemente meno grave, questa falla poteva ingannare gli utenti inducendoli a caricare file malevoli mascherati da innocui temi di Windows.

Criticità risolte:

Microsoft ha risolto vulnerabilità che interessano vari vettori d’attacco, tra cui spoofing, denial of service (DoS), elevazione dei privilegi (EoP), divulgazione di informazioni e remote code execution (RCE). Ecco alcune delle falle più rilevanti:

• Esecuzione di codice remoto nei componenti core di Windows:
  
  • Microsoft Digest Authentication (CVE-2025-21294),
  • SPNEGO Extended Negotiation (CVE-2025-21295),
  • BranchCache (CVE-2025-21296),
  • Windows Remote Desktop Services (CVE-2025-21297, CVE-2025-21309),
  • Windows OLE (CVE-2025-21298),
  • Reliable Multicast Transport Driver (CVE-2025-21307).

  
  

• Elevazione di privilegi in NTLM V1 (CVE-2025-21311): una falla che consentiva agli attaccanti di ottenere privilegi elevati, aprendo la strada a compromissioni più gravi.
• Esecuzione di codice remoto in Microsoft Excel (CVE-2025-21354, CVE-2025-21362): dimostrando ancora una volta i pericoli derivanti dall’apertura di file malevoli.

Curiosamente, nessuna vulnerabilità è stata risolta nel browser Microsoft Edge (basato su Chromium) questo mese. Una rarità che lascia intendere una momentanea tregua per uno degli strumenti più esposti ad attacchi. Questa eccezione potrebbe anche riflettere un miglioramento temporaneo nella sicurezza del browser.

Perché agire subito?

Con un numero così elevato di vulnerabilità, applicare le patch di gennaio 2025 è una priorità assoluta. Lasciare un sistema scoperto significa esporsi a rischi concreti, specialmente considerando le zero-day già sfruttate attivamente.

Cosa fare:

1. Aggiorna subito i tuoi dispositivi: assicurati che gli aggiornamenti automatici siano attivati o controlla manualmente la disponibilità delle patch tramite Windows Update.
2. Evita file sospetti: non aprire allegati o file provenienti da fonti non attendibili.
3. Rimani informato: monitora le minacce emergenti e mantieni alto il livello di guardia

Conclusione

Questo Patch Tuesday dimostra quanto sia incessante la lotta contro le vulnerabilità. Ogni mese è una corsa contro il tempo per mitigare i rischi e proteggere dati e sistemi. La sicurezza informatica è una responsabilità condivisa: aggiornare i sistemi non è solo una scelta, ma un dovere.

L'articolo Microsoft inaugura il 2025 con un Patch Tuesday da record: 159 bug risolti, 10 critici e 8 0day proviene da il blog della sicurezza informatica.

As we enter 2025, we look back on some of the biggest European digital rights developments, the laws passed, enforcement actions taken, and things to watch out for in the new year and the new EU mandate.

The post EDRi’s 2024 in Review appeared first on European Digital Rights (EDRi).

Una nuova campagna informatica in corso sta mettendo a dura prova i dispositivi FortiGate di Fortinet, in particolare quelli con interfacce di gestione esposte su Internet pubblico. Questo attacco ha scatenato un’ondata di preoccupazioni per la sicurezza, rivelando vulnerabilità potenzialmente devastanti che potrebbero compromettere l’intera infrastruttura aziendale. Se sei uno degli amministratori responsabili della gestione di dispositivi FortiGate, è il momento di agire con urgenza.

Arctic Wolf, una rinomata azienda di cybersecurity, ha rivelato che gli attaccanti stanno sfruttando una vulnerabilità sospetta zero-day, che consente loro di ottenere accesso amministrativo non autorizzato per modificare le configurazioni del firewall, estrarre credenziali e spostarsi lateralmente all’interno di ambienti compromessi. La gravità della situazione non può essere sottovalutata: l’attacco ha coinvolto dispositivi FortiGate che eseguivano firmware dalle versioni 7.0.14 alla 7.0.16, rilasciate tra febbraio e ottobre 2024.

Una campagna opportunistica che non risparmia nessuno

Gli attaccanti non sembrano essersi concentrati su un settore o tipo di organizzazione in particolare. Questo attacco è opportunistico, sfruttando vulnerabilità comuni per ottenere un accesso privilegiato e avanzare nel sistema. La campagna, che si è sviluppata tra novembre e dicembre 2024, ha visto una progressione a fasi, ognuna con obiettivi e tecniche mirate:

• Fase 1 Vulnerability scanning (16–23 novembre 2024): Gli attaccanti hanno eseguito scansioni di vulnerabilità sfruttando l’interfaccia a riga di comando jsconsole, utilizzando indirizzi IP sospetti come quelli di loopback (ad esempio, 127.0.0.1) o risolutori DNS pubblici (ad esempio, 8.8.8.8).
• Fase 2 Reconnaissance (22–27 novembre 2024): I malintenzionati hanno effettuato il riconoscimento, cercando di modificare le configurazioni per verificare se fossero riusciti a ottenere i privilegi amministrativi.
• Fase 3 SSL VPN configuration (4–7 dicembre 2024): In questa fase, gli attaccanti hanno configurato l’accesso SSL VPN, creando nuovi account super amministrativi o prendendo il controllo di quelli esistenti per infiltrarsi ulteriormente nelle reti.
• Fase 4 Lateral Movement (16–27 dicembre 2024): Con accesso amministrativo, gli attaccanti hanno sfruttato la tecnica DCSync per estrarre le credenziali, approfittando della replica del dominio e accedendo a informazioni sensibili.

The CLI Console feature in the FortiGate web interface

Cosa fare?

Arctic Wolf sottolinea l’importanza di proteggere le interfacce di gestione e limitare l’accesso solo a utenti interni fidati. Ecco alcune azioni critiche da intraprendere senza indugi:

1. Disabilita l’accesso pubblico alle interfacce di gestione: Assicurati che le interfacce di gestione dei firewall siano inaccessibili da Internet.
2. Aggiorna regolarmente il firmware: Mantieni i dispositivi aggiornati con l’ultima versione stabile per proteggerti dalle vulnerabilità note.
3. Monitora attività anomale: Cerca comportamenti sospetti, come accessi amministrativi ripetuti o l’uso di IP di loopback.
4. Implementa l’autenticazione a più fattori (MFA): Rafforza la sicurezza degli accessi amministrativi per ridurre i rischi.
5. Effettua attività di Threat Hunting: Indaga su segni di attività malevola, inclusi cambiamenti non autorizzati nelle configurazioni o configurazioni SSL VPN sospette.

Conclusione

Fortinet è consapevole della campagna e sta attivamente indagando sull’incidente. Il 12 dicembre 2024, Arctic Wolf ha segnalato le attività osservate a Fortinet, e il loro team PSIRT ha confermato di essere a conoscenza della situazione il 17 dicembre. Tuttavia, l’attività prosegue e l’impegno di Fortinet nella risoluzione è ancora in corso.

Questa campagna è un chiaro esempio di come attacchi mirati possano evolversi rapidamente e compromettere gravemente la sicurezza delle infrastrutture IT. Ora più che mai, è fondamentale essere preparati e implementare le misure di difesa adeguate per proteggere i dati sensibili e garantire la resilienza della rete aziendale.

L'articolo Allarme FortiGate: attacco zero-day in corso, migliaia di dispositivi a rischio! proviene da il blog della sicurezza informatica.

Apple ha perso terreno nel mercato degli smartphone nel 2024, perdendo quote a favore dei concorrenti cinesi. Secondo Counterpoint Research la quota dell’iPhone è scesa di 1 punto percentuale attestandosi al 18%. L’azienda ha inoltre registrato un calo delle vendite del 2% nell’anno, mentre il mercato globale è cresciuto del 4%. I principali beneficiari della crescita sono stati Xiaomi e Vivo, che continuano a rafforzare le loro posizioni con i dispositivi Android.

Il colpo principale per Apple è caduto sul mercato cinese, il più grande mercato di smartphone al mondo e il secondo più importante per l’azienda dopo gli Stati Uniti. Uno dei motivi del calo di interesse è stata la mancanza di nuove funzionalità di intelligenza artificiale introdotte nell’iPhone 16. Apple Intelligence non era disponibile in Cina al momento del lancio del dispositivo. L’azienda con sede a Cupertino continua a cercare partner locali per integrare le tecnologie AI nel Paese, il che richiede tempo e impegno significativi.

Il calo della quota di mercato ha colpito non solo Apple, ma anche il suo principale concorrente Samsung. Il colosso sudcoreano ha perso terreno anche nei confronti dei produttori cinesi in rapida crescita. Allo stesso tempo, Motorola, Huawei e Honor sono tra i produttori in più rapida crescita e sviluppano i propri strumenti di intelligenza artificiale.

Apple continua a rimanere indietro nell’intelligenza artificiale, introducendo gradualmente le funzionalità AI. Dal lancio dell’iPhone 16 a settembre, l’azienda ha introdotto miglioramenti relativi alla generazione di testo e immagini, ma queste funzionalità non sono ancora disponibili in Cina. Il problema principale rimane la mancanza di partner locali per integrare le nuove tecnologie nel più grande mercato degli smartphone.

Secondo Counterpoint Research, il lancio dell’iPhone 16 ha ricevuto recensioni contrastanti proprio a causa della mancanza di funzionalità IA innovative. Tuttavia, la società ha mostrato una crescita nei mercati non core, inclusa l’America Latina, dove la quota di Apple continua ad aumentare.

I marchi cinesi non solo stanno conquistando quote di mercato, ma stanno anche sviluppando attivamente le proprie tecnologie di intelligenza artificiale. Huawei, Honor e Lenovo (marchio Motorola) sono diventati i player in più rapida crescita tra i primi 10 produttori. Le aziende offrono dispositivi in ​​grado di eseguire attività complesse basate sull’intelligenza artificiale, rendendoli più attraenti per gli utenti.

La concorrenza nel mercato degli smartphone si sta intensificando e il ritardo di Apple nell’intelligenza artificiale sta diventando un problema evidente. L’azienda è costretta ad accelerare l’introduzione di nuove tecnologie per mantenere la propria posizione, soprattutto in regioni strategicamente importanti come la Cina. Tuttavia, senza soluzioni locali adeguate alle esigenze del mercato, Apple avrà difficoltà a competere con i produttori cinesi.

L'articolo Apple in crisi: i marchi cinesi conquistano il mercato degli smartphone nel 2024 proviene da il blog della sicurezza informatica.

Jorge Luis Borges ha affrontato con sempre minor timore – all’inizio faceva leggere i suoi discorsi a un fine dicitore – la folla di ascoltatori che attendevano i suoi interventi: nel 1977 venne invitato a tenere delle conferenze, che vengono riproposte ora nel libro intitolato Sette sere, curato da Tommaso Scarano, che si è servito anche delle registrazioni originali per offrire una traduzione più fedele possibile alle parole originarie.

Borges affronta temi che torneranno spesso nella sua scrittura: Dante, con la sua straordinaria visione dell’Altrove e degli abissi umani, e poi il sogno e il labirinto; continua con una delle origini del racconto, ossia la lenta costruzione di Le Mille e una notte, che ha molto da dire al nostro Occidente; parla poi del buddismo nell’immaginario collettivo e nella letteratura; affronta il tema a lui caro della poesia, soprattutto nel suo legame con l’Eterno, per arrivare alla concezione del divino nella Cabbala; e tratta infine un argomento che egli ha tentato di tenere distante dal sé narrante, perché legato alla sua sventura personale: la cecità.

Lo scrittore argentino non aveva molta familiarità con gli autori italiani, ma, come riconosce egli stesso, la Divina Commedia non è solo italiana, ma universale. Soprattutto perché, nel quinto canto dell’Inferno, affronta l’umana dimensione di un amore che va oltre i legami precedenti, le leggi cittadine e quelle divine. Un episodio, quello di Pao­lo e Francesca, che ha scatenato le contraddizioni del nostro essere umani e del nostro sentire pietà per due amanti che trasgrediscono quelle leggi, pagando con la vita il loro amore. Borges fa notare come questi due amanti siano uniti per l’eternità e «condividano l’Inferno» (p. 29), scegliendo un diverso paradiso, quello stesso che sembra affiorare nella coppia de Il Maestro e Margherita di Bulgakov, quando Margherita accetta di guidare il Sabba delle streghe pur di liberare lo scrittore da lei amato.

Ma lungi dal cadere nella trappola della teorizzazione di un’ingiustizia celeste, Borges va nella direzione dell’imperscrutabilità del volere divino, perché «Dio è al di là di ogni giudizio umano» (p. 30). Qui sta la sua grande onestà intellettuale, che mostra la sua profonda attenzione per la ricerca del senso finale. E da qui egli giunge a uno dei motivi che lo hanno affascinato nel corso della sua ricerca: quello del sogno, permettendo al lettore di ripercorrere i sentieri del genio di Shakespeare o di Calderón de la Barca, solo per fare due nomi fra i tanti che hanno affrontato questo grande tema.

Un’ulteriore prova di tale profonda onestà è la citazione di un autore come Chesterton, di cui Borges cita un romanzo non molto conosciuto e in parte oscurato dalla fama di padre Brown: L’uomo che fu giovedì. È la storia di formazione e di dura risposta a quanti vedevano nel cristianesimo una rigida sequela di freddi, inattuali riti. Il protagonista, un uomo del popolo che vive del suo lavoro, respinge con forza l’accusa di indifferenza e non rapporto con la realtà: noi abbiamo scelto Cristo, afferma, proprio perché abbiamo condiviso la sua sofferenza.

Borges cuce una sottile tela costituita da diversi contributi alla conoscenza, che non è un freddo sapere ma uno slancio vitale costante, ininterrotto; e non è un caso che venga citato più volte Bergson, assieme a sant’Agostino, Francis H. Bradley (il filosofo della nostra appartenenza a un tutto originario) e ai già nominati Calderón, Shakespeare e Dante.

Ma quello che è affascinante in questa raccolta è la ricerca di motivi profondi che ci portano necessariamente ai poemi arcaici e alla Sacra Scrittura. Anche quando affronta il tema della cecità, Borges lo fa con grande senso della misura, allontanandolo da sé, per permettere la comprensione di un’apparente infermità, che porta però allo sviluppo dell’occhio interiore, in grado di cercare la visività nascosta nelle parole, come quell’Omero, da lui così tanto citato, creatore «di una poesia spesso splendidamente visiva» (p. 158). Poesia quindi non come allontanamento dal vissuto, ma come esplorazione di radici e aiuto fraterno per la ricerca degli altri.

The post Sette sere first appeared on La Civiltà Cattolica.

What if your old, neglected toys could come to life — with a bit of sass? That’s exactly what [Binh] achieved when he transformed his sister’s worn-out teddy bear into ‘Ted’, an interactive talking plush with a personality of its own. This project, which combines the GLaDOS Personality Core project from the Portal series with clever microcontroller tinkering, brings a whole new personality to a childhood favorite.

[Binh] started with the basics: a teddy bear already equipped with buttons and speakers, which he overhauled with an ESP32 microcontroller. The bear’s personality originated from GLaDOS, but was rewritten by [Binh] to fit a cheeky, teddy-bear tone. With a few tweaks in the Python-based fork, [Binh] created threads to handle touch-based interaction. For example, the ESP32 detects where the bear is touched and sends this input to a modified neural network, which then generates a response. The bear can, for instance, call you out for holding his paw for too long or sarcastically plead for mercy. I hear you say ‘but that bear Ted could do a lot more!’ Well — maybe, all this is just what an innocent bear with a personality should be capable of.

Instead, let us imagine future iterations featuring capacitive touch sensors or accelerometers to detect movement. The project is simple, but showcases the potential for intelligent plush toys. It might raise some questions, too.

youtube.com/embed/DmnCYh-Bp34?…

hackaday.com/2025/01/14/turnin…

Nel panorama in continua evoluzione delle minacce informatiche, LummaC2 si distingue come un infostealer particolarmente insidioso, capace di sottrarre informazioni sensibili attraverso metodi di distribuzione ingannevoli e tecniche di offuscamento avanzate. Questo articolo fornirà un’analisi dettagliata di LummaC2, del suo metodo di distribuzione, delle funzionalità malevole e delle misure di mitigazione per proteggere le infrastrutture IT.

Metodi di Distribuzione Innovativi

Uno degli aspetti più subdoli di LummaC2 è il metodo di distribuzione basato su pagine CAPTCHA false. Gli utenti vengono ingannati da una pagina apparentemente legittima, progettata per simulare una verifica umana tramite il classico pulsante “Non sono un robot”. Tuttavia, cliccando su questo pulsante, viene copiato un comando PowerShell malevolo negli appunti dell’utente.

Se l’utente esegue il comando copiato, si attiva una catena di infezione che culmina con l’installazione di LummaC2. Questo metodo sfrutta la fiducia degli utenti nei confronti dei CAPTCHA, rendendo l’attacco particolarmente efficace.

Questo tipo di distribuzione è stato osservato principalmente su siti web che offrono download di software crackati o in campagne di phishing, enfatizzando la necessità di evitare risorse non affidabili e sospette.

Catena di Infezione Dettagliata

L’intero processo di infezione è caratterizzato da una sequenza articolata e ben orchestrata:

1. Esecuzione del Comando PowerShell: Il comando copiato negli appunti avvia l’esecuzione di un file HTA (HTML Application) tramite “mshta.exe”. Questo file è offuscato per evitare il rilevamento da parte degli antivirus.
2. Decodifica dello Script: Il file HTA contiene uno script offuscato che, una volta eseguito, lancia uno script PowerShell crittografato con AES. Questo livello aggiuntivo di offuscamento serve a complicare ulteriormente l’analisi da parte di esperti di sicurezza.
3. Download del Payload Finale: Lo script PowerShell scarica e installa LummaC2, che avvia immediatamente le sue attività malevole.

Tecniche di Offuscamento Avanzate

LummaC2 implementa una serie di tecniche di offuscamento per eludere i sistemi di sicurezza e le analisi forensi:

• Offuscamento del Flusso di Controllo: Il malware utilizza tecniche di indirezione del flusso di controllo, rendendo difficile la comprensione del codice durante l’analisi statica con strumenti come IDA Pro o Ghidra.
• Evasione delle Sandbox: LummaC2 è in grado di rilevare ambienti virtuali attraverso il monitoraggio di interazioni umane, come i movimenti del mouse, ritardando l’esecuzione in assenza di input reali.

Funzionalità Malevole

LummaC2 è progettato per sottrarre una vasta gamma di dati sensibili:

• Credenziali di Accesso: Esfiltra username e password salvati nei browser web.
• Dati di Criptovalute: Raccoglie chiavi private e informazioni relative ai portafogli digitali, rappresentando una minaccia diretta per gli asset in criptovaluta.
• Moduli ClipBanker: Monitora la clipboard per intercettare indirizzi di portafogli di criptovalute, sostituendoli con quelli controllati dagli attaccanti per reindirizzare transazioni.

Analisi della Struttura di Controllo e Attacco

Un elemento chiave per comprendere l’infrastruttura di LummaC2 è la rappresentazione visiva dei suoi flussi di controllo, come mostrato nell’immagine allegata. L’immagine evidenzia la rete complessa che sostiene il malware e le sue operazioni malevole.

Nodi di Partenza: I Domini Malevoli

• cc.klipjaqemiu.shop: Questo dominio rappresenta uno dei punti di ingresso principali, utilizzato per ospitare i file necessari all’infezione.
• noisercluch.click: Un secondo dominio malevolo coinvolto nella distribuzione del malware, probabilmente utilizzato per il download del payload o per il reindirizzamento a risorse aggiuntive.

LummaC2 Come Nodo Centrale

LummaC2 funge da nodo centrale, coordinando le attività tra i domini malevoli e i server di comando e controllo (C2). Questo approccio decentralizzato rende il malware più resiliente a eventuali interventi di mitigazione.

Indicatori di Compromissione (IoC)

Gli IoC presenti includono indirizzi IP e tecniche specifiche della matrice MITRE ATT&CK, come:

• T1055.003: Injection in processi di runtime.
• T1102.002: Uso di server legittimi compromessi per la comunicazione C2.

Comunicazioni C2

L’immagine mostra chiaramente le connessioni verso server remoti che fungono da punti di comando e controllo. Questi server ricevono i dati esfiltrati e inviano comandi al malware, mantenendo la rete malevola attiva e funzionale.

Modello di Distribuzione come Malware-as-a-Service (MaaS)

LummaC2 è disponibile nei forum del dark web come servizio, rendendolo accessibile anche a cybercriminali con competenze tecniche limitate. I prezzi variano da 250 a 1.000 dollari, a seconda delle funzionalità offerte, contribuendo alla sua diffusione su larga scala.

Strategia di Difesa e Mitigazione

Proteggersi da minacce come LummaC2 richiede un approccio multilivello:

1. Educazione e Consapevolezza: Formare gli utenti a riconoscere tentativi di phishing e a evitare risorse non affidabili.
2. Implementazione di EDR: Soluzioni di Endpoint Detection and Response possono rilevare comportamenti anomali e script offuscati.
3. Bloccare i Domini Malevoli: Configurare soluzioni DNS sicure per impedire l’accesso a domini sospetti come quelli utilizzati da LummaC2.
4. Monitoraggio della Clipboard: Utilizzare strumenti che rilevino e blocchino manipolazioni sospette della clipboard.

LummaC2 rappresenta una minaccia avanzata e in continua evoluzione, combinando tecniche di ingegneria sociale con metodologie sofisticate di offuscamento ed evasione. La sua capacità di adattarsi e sfruttare nuovi vettori di attacco evidenzia l’importanza di una vigilanza costante e di strategie di difesa aggiornate.

L'articolo LummaC2: Il Malware Che Inganna con Falsi CAPTCHA e Ruba il Futuro Digitale proviene da il blog della sicurezza informatica.

Presumably the same DSKY unit installed in the simulator at MIT.
The Display/Keyboard unit – DSKY for short – is the primary way that Apollo-era astronauts communicated with the onboard computers. Not all DSKYs ended up in space, however, with the MIT hosting a simulator that features one of these units. Unfortunately the unit that ended up at [CuriousMarc]’s lab had seen better days, with the assumption being that it was the same DSKY that was installed in a photo of the old simulator. In addition to the busted EL display and two (improper) replacement keys, the insides show signs of damaged modules and possibly worse.

Without bothering to hook the unit up to the (previously restored) guidance computer, a full teardown was begun to assess the full extent of the damage. Considering that the DSKY uses latching relays for memory and two modules were ominously marked as being defective, this made for a tense wait as the unit was disassembled.

Fortunately making new DSKY-style EL displays has first been replicated in 2019, meaning that a replacement is possible. Perhaps surprisingly, the busted display still fires up in the test rig, as a testament to how robust the technology is. At the end of the teardown, the assessment is that the unit can be restored to its original condition, which will be done in the upcoming videos in this series.

youtube.com/embed/JB4x6Uy50sY?…

hackaday.com/2025/01/14/repair…

You have a project that needs something to move. Should you use a stepper motor or a servo motor? [Matthias] has an opinion, and you can hear his thoughts in the video below. One tip we’ll take away from the video: when working with motors, shoot some high-frame-rate video and slow it down to see what’s really happening.

The initial tests looked fine at normal speed. But increasing the frame rate and decreasing the playback speed showed some very interesting things like how much each motor was overshooting. The ability to control this sort of thing is a key differentiator for these kinds of motors.

In addition to a regular stepper, he also looks at a closed-loop stepper, which has some benefits and drawbacks, too, of course. The motors with the encoders were sensitive to magnetic fields, for example.

There is plenty to see in the video, but the bottom line is that your choice of motor will depend on a lot of interlocking factors including how fast you need, how much torque you require, and your desired accuracy. You could probably have guessed that but it is still very illustrative to see them on the bench and get a feel for just how these motors work and how to solve some common issues with them.

If you want to learn more about stepper motors, you are on the right site. Servos, too.

youtube.com/embed/H-nO1F-AO9I?…

hackaday.com/2025/01/14/head-t…