Negli ultimi dodici mesi, gli esperti di sicurezza hanno notato un incremento degli attaccanti che utilizzano le funzionalità di pianificazione di Windows, previste per la gestione sistemistica, al fine di stabilizzare la loro presenza all’interno di sistemi già stati violati. All’interno dei processi di Task Scheduler vengono integrati comandi dannosi che si attivano in concomitanza con l’avvio, l’accesso o a intervalli di tempo prestabiliti, permettendo agli aggressori di acquisire un accesso occulto e persistente, in grado di eludere con frequenza i sistemi di rilevamento standard.

A differenza dei rootkit elaborati o degli exploit zero-day, queste tecniche sfruttano le funzionalità integrate del sistema, consentendo agli autori delle minacce di persistere senza dover distribuire file binari aggiuntivi o toolchain complesse. Le infezioni iniziali solitamente si manifestano tramite e-mail di phishing o exploit kit che distribuiscono loader leggeri che diventano rapidamente persistenti.

Dopo aver ultimato l’esecuzione sull’endpoint, i ricercatori di sicurezza hanno rilevato che gli aggressori utilizzano il file binario schtasks.exe o i cmdlet di PowerShell al fine di programmare nuove attività o variare quelle già presenti. Ulteriore complessità nel rilevamento è data dal fatto che queste attività possono utilizzare l’account SYSTEM. In numerosi casi, i team di risposta agli incidenti hanno scoperto attività denominate in modo da imitare servizi Windows legittimi, come “TelemetryUpdater” o “HealthCheck”, ma che puntavano a file eseguibili archiviati in directory non convenzionali in C:ProgramDataSystem.

I primi campioni erano mirati agli istituti finanziari, mentre le campagne più recenti si sono estese ai settori delle infrastrutture critiche, evidenziando l’ampia applicabilità e i bassi costi operativi dell’abuso delle attività pianificate. Gli analisti di DFIR Spot hanno notato che il malware si affida a trigger come LogonTriggere TimeTrigger, configurati per essere eseguiti ogni cinque minuti o a ogni accesso dell’utente.

Questo approccio consente ai componenti dannosi di integrarsi nelle normali attività del sistema, ritardando l’analisi e la correzione. I payload successivi forniti tramite queste attività spaziano dai binari per il coin mining agli strumenti di amministrazione remota. Una volta registrate, le attività spesso si aggiornano automaticamente richiamando script di PowerShell che estraggono moduli aggiuntivi o modificano gli argomenti della riga di comando.

Poiché i registri di Task Scheduler possono essere cancellati o disabilitati dagli aggressori, molte organizzazioni hanno avuto difficoltà a ricostruire le tempistiche senza la telemetria EDR arricchita. Dopo la creazione, il processo viene eseguito con privilegi di SISTEM, avviando un loader di secondo stadio che contatta un C2 remoto o un repository di payload.

Incorporando l’eseguibile in percorsi non standard e sfruttando in modo improprio le funzionalità di pianificazione native, gli autori delle minacce ottengono la persistenza senza richiedere framework di sfruttamento aggiuntivi. Le strategie di rilevamento devono includere una rigorosa definizione delle attività pianificate legittime, il monitoraggio dei registri TaskScheduler/Operational per l’ID evento 106 (attività registrata) e l’applicazione di policy di audit avanzate per acquisire le voci dell’ID evento 4698.

Combinando questi registri con l’analisi della discendenza dei processi basata su EDR è possibile individuare modelli anomali di creazione di attività che si discostano dalle normali operazioni amministrative.

L'articolo Perché il Task Scheduler è diventato il peggior incubo dei team di sicurezza proviene da il blog della sicurezza informatica.

Un podcast intitolato "Fentanyl, la molecola del diavolo", prodotto da Il Sole 24 Ore e narrato da Biagio Simonetta esplora l'epidemia di Fentanyl negli Stati Uniti, evidenziando come questo potente oppioide sintetico, inizialmente un farmaco per il dolore, sia diventato una piaga sociale che trasforma le persone in "zombie". Il racconto approfondisce le cause di questa crisi, dalle prescrizioni eccessive di oppioidi da parte delle case farmaceutiche ai canali di produzione e traffico gestiti dai cartelli messicani con precursori provenienti dall'Asia. Viene anche esaminato l'impatto economico, sociale e politico del Fentanil, nonché i rischi di una sua diffusione in Europa e in Italia, dove sono già stati registrati i primi casi di consumo illecito.

Rinviando all'ascolto dei complessivi sette episodi del podcast, disponibile sulle principali piattaforme e sul sito del giornale a questo indirizzo podcast.ilsole24ore.com/serie/… , l'occasione è utile per fare il punto - oltre che sulla crisi del fentanyl negli Stati Uniti - sulla sua potenziale minaccia per l'Europa. Le cause, come abbiamo accenato, sono complesse e multifattoriali, e vanno dall'eccessiva prescrizione di farmaci al traffico internazionale di sostanze sintetiche.

Come nasce l'epidemia da fentanyl

Origine e sviluppo della crisi Inizialmente, l'epidemia di oppioidi negli Stati Uniti è nata da una massiccia e incontrollata prescrizione di farmaci antidolorifici a base di oppioidi come Percocet e OxyContin. Questi farmaci, sebbene efficaci per il dolore cronico, hanno creato una generazione di persone dipendenti. La situazione è stata aggravata da una "tempesta perfetta" di fattori:

• una generazione che raggiungeva l'età con dolori cronici dovuti a lavori manuali nelle fabbriche e miniere.
• miglioramenti nelle terapie oncologiche che portavano a trattamenti più lunghi e dolorosi.
• una crescente sensibilità medica verso il dolore del paziente, che ha portato a un aumento delle prescrizioni di oppioidi.
• le case farmaceutiche, come la Purdue Pharma (produttrice di OxyContin), hanno aggressivamente promosso questi farmaci presentandoli come sicuri ed efficaci, mentre i medici erano incentivati a prescriverli e i pazienti li richiedevano attivamente.
• il sistema sanitario americano, quasi interamente privato, ha visto medici che prescrivevano, case farmaceutiche che producevano e assicurazioni che rimborsavano, creando un ciclo in cui "tutti erano apparentemente contenti e nessuno si accorgeva di anomalie, abusi, eccessi".

Quando le restrizioni governative hanno reso più difficile l'accesso agli oppioidi legali, molti consumatori si sono rivolti al mercato nero, prima all'eroina e poi al fentanyl, che è diventato il passo successivo.

Il Fentanyl: la molecola del diavolo
Il fentanyl è un oppioide sintetico sviluppato negli anni '60 come potente analgesico. È un farmaco eccezionale per il trattamento del dolore acuto o cronico, usato anche in sala operatoria per la sua azione rapidissima (30-90 secondi). Tuttavia, la sua potenza estrema (circa 50 volte più potente dell'eroina e 100 volte più potente della morfina) lo rende letale se usato in modo non controllato. Basta una dose di 2 milligrammi per uccidere una persona.

Produzione in Messico e precursori chimici da Cina ed India

Per gli aspetti che maggiormente interessano il nostro blog, un focus particolare va fatto specificamente riguardo alla produzione in Messico e alla provenienza dei precursori chimici dall'Asia.

Produzione in Messico
La produzione di fentanyl in Messico è dominata da due principali cartelli della droga: il cartello di Sinaloa e il cartello Jalisco Nueva Generación (CJNG). Il CJNG è considerato l'organizzazione criminale più potente del Messico, controllando porti fondamentali come Manzanillo e Lázaro Cárdenas, cruciali per la ricezione dei precursori chimici.

I laboratori messicani si trovano principalmente lungo la costa del Pacifico, in stati come Jalisco, Michoacán, Guanajuato e Zacatecas. Questi non sono semplici capanni fumanti, ma spesso sono capanni mimetizzati tra la vegetazione, ranch abbandonati o case anonime alla periferia delle città, operando con un alto livello di professionalità. I cartelli hanno assunto chimici esperti per migliorare le formule e la conoscenza della produzione è stata affinata nel tempo. Lavorano a ritmi incessanti, spesso di notte, con finestre coperte, e usano presse a mano per compattare le pillole.

Un punto di dibattito riguarda il ruolo del Messico nella produzione. Il governo messicano sostiene di limitarsi a trasportare fentanyl già processato dall'Asia, mentre la DEA (l'Agenzia americana anti-roga) afferma che in Messico esistono laboratori per la lavorazione del fentanyl.

Provenienza dei precursori chimici dall'Asia (Cina e India)
I precursori chimici, ovvero le molecole di base necessarie per la sintesi del fentanyl, provengono in gran parte dalla Cina e dall'India.

• Produzione legale: Decine di aziende farmaceutiche ufficialmente registrate in zone industriali cinesi come Guangzu, Shenzhen e Wuhan producono queste molecole, che sono perfettamente legali nei loro paesi d'origine.
• Vendita e spedizione: I precursori vengono venduti liberamente sul mercato chimico, spesso etichettati come "prodotti per la ricerca". Vengono ordinati online, pagati in criptovalute e spediti tramite corrieri tradizionali.
• Itinerario e difficoltà di intercettazione: Una volta in viaggio, questi precursori possono cambiare destinazione più volte, passando per snodi come Singapore, Panama, Rotterdam, Belize e Canada prima di arrivare in Messico. Sono estremamente difficili da intercettare perché:

  
  

  • Richiedono quantitativi minimi (1 kg di fentanyl può generare 500.000 dosi).
  • Non hanno un odore, rendendoli non intercettabili dai cani antidroga alle frontiere.
  • Possono viaggiare tramite canali ufficiali o come "prodotti per la ricerca", bypassando i controlli doganali.
  • La loro sintesi chimica è relativamente semplice e non dipende da fattori agricoli (come i campi di papaveri per l'oppio), garantendo una produzione rapida, veloce e in grandi quantità.

La redditività e il traffico: Un chilogrammo di fentanyl puro può essere prodotto a meno di $1000, ma genera guadagni che superano facilmente i 10 milioni di dollari. Questa enorme redditività ha rivoluzionato le dinamiche del narcotraffico. Una volta prodotto in Messico, il fentanyl viene impacchettato in piccoli carichi (1-2 kg) e nascosto in modi ingegnosi (batterie d'auto, scocche di televisori, piatti di ceramica). Viene poi trasportato attraverso il confine statunitense da corrieri umani, spesso ragazzini messicani o cittadini americani reclutati tra i tossicodipendenti e i disperati.

La minaccia del fentanyl per Europa ed Italia: reale e silenziosa

La minaccia del fentanyl per l'Europa, e in particolare per l'Italia, è una preoccupazione crescente, nonostante finora il Vecchio Continente sia stato in gran parte risparmiato da un'epidemia paragonabile a quella statunitense.

Riguardo a questa minaccia si deve tener conto, in primis, delle differenze nell'approccio al farmaco come fattore protettivo iniziale:

• L'Europa, a differenza degli Stati Uniti, ha un approccio al farmaco diverso che, per fortuna, ha contribuito a evitare una dipendenza di massa iniziale. Negli Stati Uniti, l'epidemia è nata da una massiccia e incontrollata prescrizione di antidolorifici oppioidi, spinta da case farmaceutiche, medici e un sistema sanitario privato.
• In Italia, un farmaco come il Fentanil non si trova facilmente in farmacia come negli Stati Uniti. Lo si trova, ad esempio, sotto forma di cerotto per il dolore. L'uso di oppioidi in ambito intraoperatorio e post-operatorio in Europa è sempre stato diverso rispetto agli Stati Uniti.

  Segnali di allarme e casi specifici in Italia e Europa

• Nonostante la minore diffusione, ci sono però già casi di tossicodipendenza in Italia legati al fentanyl. Alcune persone ottengono il cerotto di fentanyl tramite prescrizioni e lo masticano per assorbire la sostanza, aggiungendolo a volte al metadone.
• Sono stati registrati pochi casi di decesso riconosciuti con presenza di fentanyl tra le sostanze d'abuso in Italia, si parla di una decina di casi o meno. Tuttavia, negli ospedali italiani arrivano soggetti che risultano positivi al fentanyl.
• È stato segnalato un episodio in cui a Perugia è stato riscontrato un campione di sostanza rivelatosi fentanyl.
• Un caso di cronaca ha visto un piacentino coinvolto nello spaccio internazionale di fentanyl, che veniva fatto arrivare in carceri statunitensi tramite pagine di libri impregnate della sostanza, con canali di approvvigionamento anche dalla Cina.
• Il giornalista italocanadese Antonio Nicaso ha evidenziato che il Canada, in proporzione, ha più vittime di overdose da fentanyl degli Stati Uniti. Ha anche espresso la preoccupazione che l'epidemia possa arrivare in Europa, con il rischio che l'Europa diventi "destinataria anche del fentanyl o quantomeno di un fentanyl meno letale".

  
  Rimane il fatto che il fentanyl è una minaccia persistente per l'Europa, per una serie di motivazioni:

• Facilità di produzione e traffico: Il fentanyl è un oppioide sintetico che non richiede piantagioni come l'oppio, ma può essere sintetizzato in laboratorio con precursori chimici che arrivano principalmente da Cina e India.
• Invisibilità e difficoltà di intercettazione: I precursori chimici possono essere ordinati online, pagati in criptovalute e spediti tramite corrieri tradizionali, spesso etichettati come "prodotti per la ricerca". Sono difficili da intercettare perché richiedono quantitativi minimi (1 kg di fentanyl può generare 500.000 dosi), non hanno un odore (indetectabili dai cani antidroga) e viaggiano tramite canali che aggirano i controlli doganali.
• Altissima potenza: Essendo circa 50 volte più potente dell'eroina e 100 volte più potente della morfina, basta una dose minima di 2 mg per essere letale. La sua azione rapida (30-90 secondi) crea una forte dipendenza psicologica.
• Redditività: I cartelli messicani producono il fentanyl a un costo inferiore ai 1000 dollari al chilo, generando guadagni che superano facilmente i 10 milioni di dollari. Questa enorme redditività lo rende estremamente attraente per le organizzazioni criminali.

  Le sfide per l'Europa e l'Italia

  In conclusione:

• Le organizzazioni criminali, come la rete criminale canadese di origine cinese "Bit Circle Boys", sono coinvolte nell'importazione di precursori chimici e fentanyl, sfruttando porti come quello di Vancouver. Se le mafie italiane dovessero interessarsi al fentanyl, potrebbe esserci un'escalation. Attualmente, il basso costo e la breve durata del "cliente" di fentanyl potrebbero renderlo meno attraente per alcune mafie rispetto alla cocaina. Tuttavia, un fentanyl meno letale potrebbe cambiare questo scenario.
• L'Italia sta monitorando la situazione con "antenne alte", controllando sequestri, acquisti, intercettazioni e gli effetti sulla salute delle persone. Tuttavia, c'è il timore che, avendo "disimparato alcune attenzioni di base" dall'era dell'eroina, l'Italia possa trovarsi impreparata di fronte a una "supereroina" come il fentanyl.
• Un'altra preoccupazione attuale per l'Italia e parte dell'Europa è il consumo di crack, per il quale non esistono antidoti o trattamenti efficaci come il metadone, o il Narcan per gli oppioidi.

In sintesi, la minaccia del fentanyl in Europa e Italia è reale e silenziosa. Sebbene i sistemi di controllo sui farmaci abbiano finora agito da scudo, le caratteristiche intrinseche del fentanyl (potenza, basso costo, facilità di produzione e difficoltà di intercettazione) lo rendono un pericolo imminente. I segnali di presenza ci sono già, e gli esperti avvertono che è fondamentale non abbassare la guardia e aumentare l'informazione, in particolare nelle scuole, perché "senza informazione questa guerra la perdiamo prima ancora di combatterla".

#fentanyl #fentanil
@Podcast

(ovvero: si può mandare un vocale per email?!)

Ci stiamo abituando a mandare tutto via chat.
Foto, video, audio, documenti di testo... per non parlare dei vocali, con cui riempiamo letteralmente le memorie dei telefoni!

Molto spesso non c'è bisogno di conservare tutto (conversazioni che un tempo sarebbero avenute per tefefono ora diventano interminabili scambi di vocali), o meglio: anziché ricordare il contenuto di una conversazione, ci capita di dover cercare e riascoltare i vocali dove si dicono cose importanti, persi in mezzo a quelli che potevamo benissimo cancellare...

E se vi dicessi che ci sono modi per inviare facilmente tutte queste cose con un link anche al di fuori delle chat?
Per chi, come me, ha deciso di uscire dal mondo Meta – e rinunciare perciò anche a WhatsApp, scoprire di poter inviare messagi vocali, oltre che ogni sorta di file, con un semplice link (e senza registrarsi o accedere a servizi) può fare la differenza e rendere la transizione molto più agevole.

Per esempio, inviare un'immagine come SMS ha un costo (nel mio caso, 50 centesimi), e lo stesso vale per ogni contenuto che usa il formato MMS. Per inviare un link, invece, basta un semplice SMS (solitamente incluso nel proprio piano standard).
Per quanto riguarda le email, lo spazio di archiviazione spesso finisce a causa di allegati pesanti che potevano benissimo essere inviati con un servizio temporaneo – e poi eventualmente salvati in locale dal ricevente.

Le soluzioni che presento sono molto più snelle dei servizi generici di trasferimento file, sono in genere dedicate a un solo tipo di contenuto e offrono una scadenza breve, perfetta per scambi rapidi o in tempo reale.

Per ognuna di esse troverete nelle immagini una guida intuitiva all'utilizzo.
Raccomando di fare attenzione a diffondere dati sensibili poiché questi servizi non sono in genere crittografati e i link (per quanto anonimi e costituiti da sequenze casuali) sono accessibili pubblicamente.

1) MESSAGGI VOCALI e file audio (Vocaroo)

Questo sito permette di registrare audio in tempo reale e conservarlo online, fornendo infine un link da inviare per permettere ad altri di ascoltarlo.
N.B.: dalle mie prove, l'audio risulta migliore disabilitando l'opzione "Rimuovi il rumore di fondo", accessibile toccando l'icona a forma di ingranaggio.

Con il pulsante Carica/Registra in alto a destra si può passare alla funzione di caricamento di un file audio già esistente.

2) VIDEO (Streamable)

I video sono i maggiori responsabili del consumo di memoria su tutti i nostri dispositivi e spesso li vediamo una volta sola, ma rimangono nel telefono per sempre.
Con Streamable si può caricare un video con un clic e senza registrazione e ottenere un link dove sarà visibile (senza sottoscrizione) per 2 giorni. Registrando un account gratuito, i video possono rimanere online per 90 giorni e si otengono alcuni vantaggi. Il sito offre piani a pagamento per soluzioni avanzate di hosting video.

3) IMMAGINI e album fotografici (Lutim)

Lutim è un'applicazione web open source ed è l'unico servizio tra quelli presentati che crittografa il contenuto dei file sul server (le immagini restano comunque visibili pubblicamente a chi ha il link).
È possibile caricare in modo semplice numerose immagini in una sola operazione (basta selezionarle insieme all'atto del caricamento) e condividere il link alla galleria che le contiene tutte.

È presente in varie istanze, che differiscono a volte per le possibilità che offrono (scelta del tempo di permanenza online e altro).

Istanze senza registrazione:
lutim.lagout.org
pic.infini.fr
img.tedomum.net

4) ALTRI FILE (Litterbox)

Questo servizio di upload temporaneo è il modo più rapido per inviare (quasi) ogni tipo di file* (dal pdf, al documento OpenDocument, ad altri tipi inclusi immagini, audio e video), purché di dimensione inferiore a 1 Gb. La scadenza va da un'ora a 3 giorni (si può decidere al momento del caricamento). I file non sono crittografati.

*) sono esclusi: .exe, .scr, .cpl, .doc*, .jar

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and a new report from the Coalition for Independent Tech Research about the struggle to keep public-interest research alive is worth a look if your summer reading lists are running low.

— The United States, China and European Union are squaring up with different "AI stacks" in the race for global AI dominance.

— Everything you need to know about the US-EU trade framework when it comes to tech and the almost certain future transatlantic tensions.

— The AI Divide is real. That's as true for where research is funded as it is for the critical infrastructure underpinning ther emerging technology.

Let's get started.

digitalpolitics.co/newsletter0…

We often marvel at the many things a 555 can do. But [Zafer Yildiz] shows us that it can even take the place of a PCB. You’ll see what we mean in the video below. The timer relay circuit is built “dead bug” style with the 555 leads bent out to provide wiring terminals.

Honestly, these kinds of circuits are fun, but we would be reticent to use this type of construction for anything that had to survive in the real world. Solder joints aren’t known for being mechanically stable, so this is good for experiments, but maybe not something you want to do all the time.

Radio Shack IC board
That said, the workmanship is neat. We would probably have grabbed a little universal PCB instead. Or, some people use Manhattan-style construction, where you glue little bits of PCB material down to make terminals.

Honestly, our favorites were some little boards we used to get at Radio Shack (see image of one we found on some random project). If you know where we can still find these, mention it in the comments. And, sure, it would be easy enough to make a batch or two.

Still, if you just need quick and dirty, deadbug construction does work. We will warn you, though. Deadbug construction can make you go nuts.

youtube.com/embed/7vrs3QMRQ08?…

hackaday.com/2025/08/25/dead-b…

Nasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio all’avanguardia dedicato alla ricerca sulle minacce informatiche, con un focus specifico sui malware. Red Hot Cyber è orgogliosa di annunciare la nascita di Malware Forge, il nuovo gruppo specializzato nell’analisi e nello studio approfondito dei software malevoli.

Questo laboratorio nasce come punto di riferimento per professionisti e appassionati che vogliono approfondire il funzionamento del software malevolo, comprenderne le logiche di sviluppo e anticiparne le possibili evoluzioni. Con un approccio collaborativo e internazionale, Malware Forge porta all’interno della community una competenza tecnica mirata alla dissezione dei malware e alla diffusione delle conoscenze per rafforzare la resilienza digitale collettiva.

La Missione di Malware Forge

La missione del laboratorio è chiara e in linea con il manifesto di Red Hot Cyber: analizzare i malware con l’obiettivo di fornire alla comunità informazioni utili per proteggersi meglio. Attraverso attività di reverse engineering, analisi dinamiche e statiche, studio delle famiglie di malware emergenti e pubblicazione di report tecnici, il team si impegna a trasformare il codice malevolo in informazioni utili alla difesa.

Non si tratta solo di identificare minacce, ma di rendere comprensibile la loro natura anche a chi non è un addetto ai lavori. Malware Forge vuole infatti tradurre la complessità del malware in conoscenza condivisa, così da aiutare organizzazioni, professionisti e cittadini a proteggersi in maniera più consapevole.

L’Approccio di Malware Forge

L’approccio distintivo del laboratorio si concentra su tre pilastri fondamentali:

• Analisi tecnica dei malware: identificare, smontare e comprendere ogni componente dei software malevoli per individuarne le tecniche, tattiche e procedure.
• Condivisione della conoscenza: pubblicare articoli, report e insight che possano fornire alla community strumenti concreti per riconoscere e difendersi dalle minacce digitali.
• Collaborazione attiva: lavorare insieme ad analisti, ricercatori e appassionati di tutto il mondo per creare un network di competenze orientato alla protezione collettiva.

Malware Forge riconosce che la sicurezza informatica non è solo una questione di strumenti tecnologici, ma soprattutto di cultura e consapevolezza. Per questo motivo, accanto alle analisi tecniche, il laboratorio promuove attività divulgative e formative: workshop, articoli di approfondimento e report, corsi di formazione ed esercitazioni e studi di casi reali.

L’obiettivo è semplice ma ambizioso: rendere la conoscenza sul malware accessibile a tutti, permettendo a chiunque – dal professionista IT al semplice utente – di sviluppare un livello più alto di attenzione e protezione verso le minacce informatiche.

Il laboratorio è composto da analisti e ricercatori che condividono la passione per la cybersecurity e la volontà di contribuire attivamente alla difesa del cyberspazio. Ogni membro porta con sé esperienze e competenze specifiche, creando così un gruppo dinamico e multidisciplinare.

Alcuni dei nomi di analisti che fanno parte del laboratorio malware Forge :

• Agostino Pellegrino
• Bajram Zeqiri (Aka Frost)
• Manuel Roccon
• Alessio Stefan
• Bernardo Simonetto
• Gianluca Braga
• Andrea Mongelli
• Crescenzo Cuoppolo
• Sandro Sana
• Massimiliano Brolli

Candidature

Se sei un analista di malware, un ricercatore o semplicemente un appassionato con competenze consolidate nel settore, Malware Forge ti offre l’opportunità di entrare a far parte di un laboratorio unico nel suo genere. Un ambiente collaborativo dove esperti di cybersecurity condividono conoscenze, strumenti e metodologie per analizzare i malware e comprendere a fondo le minacce digitali.

Partecipare a Malware Forge significa contribuire attivamente alla creazione di report, studi e approfondimenti destinati alla community di Red Hot Cyber, accrescere le tue competenze e confrontarti con professionisti del settore. Il tuo lavoro non resterà solo teoria, ma sarà parte integrante di un network operativo orientato alla protezione e alla consapevolezza digitale.

Se sei interessato, invia il tuo curriculum a redazione@redhotcyber.com. I nostri esperti valuteranno la tua candidatura e, se selezionato, entrerai a far parte di un team dinamico, innovativo e fortemente collaborativo, pronto a fare la differenza nella lotta alle minacce informatiche.

L'articolo Malware Forge: Nasce il laboratorio di Malware Analysis di Red Hot Cyber proviene da il blog della sicurezza informatica.

Pointing at stars may seem easy on the surface—just mount a telescope to a tripod and you’re done, right? As anyone who’s spent time with a telescope can tell you, it’s not that simple, given that the Earth is always spinning. [Sven] set out to make his own mount to compensate for the rotation of the Earth, which led to some pretty amazing results.

In this project, [Sven] designed a GoTo mount, which is a telescope equatorial mount capable of being pointed at specific parts of the sky and tracking them to allow for long-exposure photos with minimal blur due to the Earth’s movement. He first went down the path of finding the correct harmonic gearbox for the steppers used. A harmonic drive system would allow smooth, precise movement without backlash, and the 100:1 stepdown would provide for the slightest of adjustments.

The steppers are controlled by a custom PCB [Sven] designed around an ESP32-S3. The first PCB had a mistake in the power delivery circuit. After a small tweak, V2 boards arrived and work great. The PCB runs OnStepX, a great open-source project centered around pointing telescopes, cutting down a lot of the software workload on this project.

After all the work put in, you may be wondering how well it works. [Sven] was able to get a pointing accuracy of 1-2 arcseconds from his mount. To get an idea of how great that is, 1 arcsecond is about the same as pointing at a penny from 4 km (2.5 miles) away. Fantastic results, [Sven], and thank you for sending in this great project—be sure to head over to his site and read all the details of this impressive build. If you found this interesting, be sure to check out some of our other telescope-related projects.

hackaday.com/2025/08/25/diy-te…

Il tema dell’hacking e del furto di auto tramite Flipper Zero è tornato alla ribalta in tutto il mondo e anche noi ne abbiamo parlato con un recente articolo. Questa volta, gli hacker hanno affermato di vendere un “firmware segreto” per il gadget, che potrebbe essere utilizzato contro Ford, Audi, Volkswagen, Subaru, Hyundai, Kia e molti altri marchi.

Dal nbostro articolo venivano pubblicate informazioni relative alle prove presentate sul canale YouTube “Talking Sasquach” che aveva messo mano sul famigerato firmware presente nelle underground. Sembrerebbe che tale mod per flipper zero sia stata sviluppato da un hacker di nome Daniel, che presumibilmente vive in Russia, e dal suo socio Derrow, che ha sviluppato e vende sul darknet il firmware denominato Unleashed per Flipper Zero.

Daniel ha affermato di aver acquistato da altre persone vari frammenti di codice sorgente necessari per creare il firmware. Ha aggiunto che il firmware potrebbe effettivamente essere utilizzato per i furti d’auto, ma è anche molto diffuso tra le officine meccaniche.

Gli hacker sostengono che il dispositivo modificato possa intercettare i segnali provenienti dai telecomandi e calcolare il codice successivo per sbloccare l’auto, creando una “copia ombra della chiave originale”. Secondo la documentazione fornita, tali attacchi funzionano contro quasi 200 modelli di auto, tra cui le versioni 2025 di Ford, Audi, Volkswagen, Subaru, Hyundai, Kia, Fiat, Mitsubishi, Suzuki, Peugeot, Citroën e Skoda.

Sono disponibili due versioni del firmware: quella base a 600 dollari (solo la versione attuale) e quella estesa a 1000 dollari (con aggiornamenti e supporto futuri); il pagamento è accettato in criptovaluta.

Allo stesso tempo, il firmware è presumibilmente associato a un dispositivo specifico tramite un numero di serie per impedirne la distribuzione non autorizzata. Per farlo, gli acquirenti sono tenuti a fornire foto della confezione del Flipper Zero, che mostrano il numero di serie del dispositivo, e una foto di una parte specifica delle impostazioni del gadget.

Daniel ha dichiarato ai giornalisti di aver venduto la tecnologia a circa 150 clienti in due anni, mentre Darrow afferma che “le vendite sono alle stelle”.

Ovviamente la community dell’automotive e della cybersecurity ha espresso preoccupazione per il fatto che, se questa tecnologia possa diffondersi, e quindi portare a un’impennata dei furti d’auto. La pubblicazione scrive che nel 2026, “i Kia Boys potrebbero diventare Flipper Boys”, riferendosi alla nota tendenza dei giovani a rubare auto Kia e Hyundai.

In risposta a numerosi resoconti dei media, uno degli autori di Flipper Zero, Pavel Zhovner, ha pubblicato un lungo messaggio sul blog ufficiale.

“Alcuni negozi darknet hanno iniziato a vendere il cosiddetto firmware ‘privato’ per Flipper Zero, sostenendo che possa essere utilizzato per hackerare innumerevoli auto.In realtà, tutti questi metodi sono stati pubblicati più di 10 anni fa. Niente di nuovo. Gli autori di tali firmware si limitano a rielaborare vulnerabilità note, spacciandole per “nuovi hack”. E, cosa importante, queste vulnerabilità non hanno nulla a che fare con i veri furti d’auto, poiché impediscono l’avviamento del motore”, scrive Zhovner.

Lo sviluppatore spiega che KeeLoq è stato sviluppato negli anni ’80 e utilizzato principalmente nei sistemi di accesso più datati (come le porte dei garage e i primi allarmi per auto). Si tratta di un sistema a codice variabile (o a salto), in cui ogni trasmissione utilizza un nuovo segnale univoco crittografato con una chiave del produttore a 64 bit.

Secondo Zhovner, il punto debole di KeeLoq è la chiave del produttore. Il problema è che le case automobilistiche spesso utilizzavano la stessa chiave per l’intera gamma di modelli. Se questa chiave venisse divulgata, gli aggressori sarebbero in grado di intercettare i segnali di qualsiasi telecomando di questa marca.

“Gli autori del firmware ‘hacker’ si limitano a distribuire vecchie chiavi rubate a diverse case automobilistiche. Non è una novità, vulnerabilità di questo tipo sono state descritte in dettaglio già nel 2006”, spiega il creatore di Flipper. “Da allora, le case automobilistiche sono passate a protocolli radio più moderni con autenticazione bidirezionale, in cui l’auto e la chiave si scambiano messaggi per verificarne l’autenticità.”

Zhovner ribadisce poi i punti che gli autori di Flipper Zero avevano spiegato in dettaglio nel 2024, quando il governo canadese annunciò l’intenzione di vietare la vendita di Flipper Zero e di dispositivi simili nel Paese perché avrebbero potuto essere utilizzati per rubare automobili.

In particolare, ricorda che i veri ladri d’auto di solito prendono di mira i sistemi di apertura e avviamento senza chiave. Utilizzano ripetitori e trasmettitori che trasmettono un segnale dalla vera chiave, inducendo l’auto a credere che la vera chiave si trovi nelle vicinanze. “Se la tua auto può essere hackerata con Flipper Zero, può essere hackerata anche con un pezzo di filo“, conclude Zhovner.

L'articolo 200 modelli di auto vulnerabili? Sul darknet spunta il firmware ‘killer’ per Flipper Zero proviene da il blog della sicurezza informatica.

F6 ha segnalato un forte aumento delle frodi in cui i criminali sfruttano i minori per accedere ai conti bancari dei genitori. Secondo gli analisti, nella prima metà del 2025 sono stati registrati circa 3.500 casi di questo tipo. Il colpo principale è stato inferto ai bambini di età compresa tra 10 e 14 anni. Ciò è facilitato dal libero accesso a smartphone e computer, in un contesto di scarsa alfabetizzazione digitale.

Gli scenari di attacco variano da brevi a lunghi mesi e dipendono dalla possibilità del bambino di accedere ai dispositivi e alle informazioni finanziarie degli adulti. A dicembre 2024, gli specialisti di F6 hanno contato circa un centinaio di episodi di questo tipo e, nella prima metà del 2025, il numero medio mensile di attacchi è quasi sestuplicato, raggiungendo circa 580.

Gli aggressori si avvicinano ai bambini nei luoghi in cui trascorrono la maggior parte del tempo. Attirano i bambini più piccoli in conversazioni su giochi popolari come Roblox, Minecraft e Standoff 2, spesso fingendosi blogger e streamer e promettendo premi o valuta di gioco.

Gli adolescenti vengono spesso attirati attraverso il sistema FakeBoss, fingendosi dipendenti di scuole, agenzie governative, operatori di telecomunicazioni o servizi di consegna e richiedendo codici tramite SMS.

Segue l’intimidazione con storie di hacking e “responsabilità penale” dei genitori e una serie di istruzioni su come accedere alle applicazioni bancarie. I bambini vengono convinti a scattare discretamente una foto dello schermo di un telefono sbloccato con icone bancarie, a spiare un codice PIN, a trasferire denaro o persino a richiedere un prestito.

Gli episodi notturni sono particolarmente degni di nota, quando a un bambino viene chiesto di appoggiare il dito del genitore addormentato su un sensore se i dati biometrici sono abilitati sul dispositivo.

Secondo F6, gli attacchi tramite bambini sono tra i sei schemi fraudolenti più pericolosi. L’azienda osserva che i criminali utilizzano le stesse tecniche di pressione degli adulti e fanno sempre più affidamento sull’intimidazione.

Gli esperti raccomandano alle banche di affidarsi all’analisi comportamentale e a regole di rilevamento aggiornate per riconoscere tempestivamente scenari anomali. Si consiglia ai genitori di combinare l’uso dei gadget con le norme di igiene digitale fin dalla tenera età, abilitare il parental control, garantire la massima privacy sui social network, spiegare il divieto di trasferimento di codici da SMS e di qualsiasi dato bancario e mantenere un dialogo riservato con i bambini in modo che segnalino immediatamente i contatti sospetti.

F6 sottolinea che una prevenzione efficace richiede di parlare con gli adolescenti in un linguaggio che comprendano e attraverso canali familiari: social network, blogger, giochi e cartoni animati.

L’azienda afferma di stare sviluppando strumenti per contrastare tali schemi e di aggiornare i modelli di rilevamento delle minacce basati su segnali comportamentali.

L'articolo “Figliuolo, accedi allo smartphone di tuo padre!” Forte aumento delle Frodi che utilizzano i minori proviene da il blog della sicurezza informatica.

Microsoft ha rilasciato una nuova build 26200.5761 (KB5064093) di Windows 11 Insider Preview per gli utenti Windows Insider nel Canale Dev. L’aggiornamento introduce diverse interessanti funzionalità e miglioramenti che verranno gradualmente distribuiti agli utenti.

La principale innovazione è la possibilità di continuare a lavorare senza problemi con le applicazioni Android direttamente su un computer Windows 11. Il primo esempio è stata l’integrazione con Spotify: se l’utente stava ascoltando un brano o un podcast su uno smartphone, sul PC apparirà una notifica con la possibilità di continuare la riproduzione dallo stesso punto. Se l’applicazione non è ancora installata, il sistema stesso proporrà di scaricarla dal Microsoft Store e di accedere immediatamente all’account. Affinché la funzione venga attivata, è necessario attivare il collegamento con il telefono tramite “Impostazioni” di Windows e l’applicazione “Collegamento a Windows”.

Un’altra modifica degna di nota riguarda la schermata di blocco, che ora presenta icone della batteria aggiornate e più visive che consentono di valutare rapidamente il livello di carica.

Altri miglioramenti includono un nuovo modo per richiamare “Click to Do” sui dispositivi touchscreen Copilot+, impostazioni semplificate per “Auto SR” sui laptop Snapdragon e funzionalità aggiuntive in Impostazioni, tra cui link diretti a pagine pertinenti dai risultati di ricerca e tasti di scelta rapida per i trattini lunghi e corti. Ora puoi aggiungere le tue app preferite alla finestra di condivisione di Windows per una selezione rapida.

Gli sviluppatori hanno anche corretto diversi bug. L’elenco delle applicazioni nelle Impostazioni funziona meglio, sono stati risolti i problemi con Windows Hello durante l’accesso tramite riconoscimento facciale e la stabilità dei giochi quando si utilizzano overlay e Game Bar è stata migliorata, soprattutto su sistemi con più monitor. È stato risolto un crash di Visual Studio su un PC Arm64 quando si utilizzava WPF dopo l’installazione di un aggiornamento .NET.

Tra i problemi noti figurano problemi con la funzione Recall per gli utenti in Europa, una visualizzazione errata della sezione Condividi in Esplora file ed errori durante la scansione dei file temporanei nelle impostazioni di sistema. Alcuni utenti riscontrano anche problemi durante l’utilizzo del controller Xbox tramite Bluetooth, per i quali l’azienda offre una soluzione manuale tramite Gestione dispositivi.

Microsoft ci ricorda che molte funzionalità del canale Dev vengono rilasciate in più fasi e potrebbero subire modifiche o non essere incluse nelle versioni finali di Windows. Gli iscritti al programma possono accelerare la distribuzione delle nuove funzionalità attivando l’opzione “Scarica gli ultimi aggiornamenti” nelle impostazioni di Windows Update.

L'articolo Windows 11 Insider Preview: nuove funzionalità e miglioramenti in vista proviene da il blog della sicurezza informatica.

È stata resa pubblica un’analisi approfondita e un esempio di proof-of-concept riguardante la vulnerabilità CVE-2025-43300, una falla di sicurezza critica che consente l’esecuzione remota di codice senza necessità di clic, presente nell’infrastruttura di elaborazione delle immagini di Apple.

Si tratta di una falla di sicurezza, individuata nella realizzazione della decompressione JPEG Lossless da parte di Apple all’interno del bundle RawCamera.bundle, permette ai malintenzionati di eseguire codice arbitrario senza necessità di interazione con l’utente, attraverso file DNG (Digital Negative) appositamente creati per essere dannosi.

La vulnerabilità sfrutta i presupposti fondamentali del motore di analisi TIFF/DNG di Apple e la sua interazione con la compressione JPEG lossless. I file DNG, basati sulle specifiche del formato immagine raw open source di Adobe, utilizzano la struttura del contenitore TIFF con dati di immagine compressi senza perdita di dati JPEG incorporati nei SubIFD. Il PoC richiede modifiche minime a un file DNG legittimo, il che la rende particolarmente pericolosa.

Nello specifico, la vulnerabilità si verifica quando un file DNG dichiara SamplesPerPixel = 2 nella sua directory SubIFD ma contiene solo 1 componente nel blocco SOF3 (Start of Frame 3) dei dati JPEG lossless incorporati. Il meccanismo di attacco sfrutta una discrepanza tra le dichiarazioni dei metadati e i dati effettivi dell’immagine. Il ricercatore b1n4r1b01 ha pubblicato un’analisi tecnica dettagliata e i passaggi di riproduzione, rivelando che il difetto deriva da una condizione di buffer overflow nella routine di decompressione JPEG lossless all’interno di RawCamera.bundle.

La vulnerabilità rappresenta una minaccia significativa per la sicurezza in quanto consente lo sfruttamento senza clic tramite il sistema di elaborazione automatica delle immagini di Apple. Gli aggressori devono solo modificare due byte specifici: cambiando l’offset 0x2FD00 da 01 a 02 (modificando SamplesPerPixel) e l’offset 0x3E40B da 02 a 01 (modificando il numero di componenti SOF3). Queste precise modifiche creano la discrepanza critica che innesca la vulnerabilità.

Il pacchetto RawCamera.bundle, che gestisce vari formati di immagini raw su iOS, non contiene informazioni sui simboli, rendendo difficile il reverse engineering. Tuttavia, il ricercatore fa notare che non tutti i file DNG con compressione JPEG lossless raggiungono il percorso del codice vulnerabile, il che richiede condizioni specifiche in linea con il campione proof-of-concept fornito. L’avviso di sicurezza di Apple riconosce cheCVE-2025-43300 è stato attivamente sfruttato in attacchi sofisticati rivolti a individui specifici, elevando questa vulnerabilità da teorica a strumento confermato di un attore di minaccia .

La natura zero-click lo rende particolarmente interessante per le operazioni di sorveglianza mirate, poiché le vittime non necessitano di alcuna interazione oltre alla ricezione del file dannoso. La vulnerabilità interessa diverse piattaforme Apple , tra cui iOS 18.6.1, iPadOS 18.6.1 e varie versioni di macOS. Ricordiamo che Apple ha rilasciato patch per iOS 18.6.2, iPadOS 18.6.2, macOS Sequoia 15.6.1 e versioni precedenti di macOS. Il ricercatore ha confermato che la proof-of-concept non causa crash su iOS 18.6.2, a indicare che la mitigazione è stata completata con successo.

L'articolo PoC Zero-Click Exploit su iPhone e Mac: come due byte è possibile compromettere l’ecosistema Apple proviene da il blog della sicurezza informatica.

A cura di Luca Stivali, Roland Kapidani e Silvia Felici.

Negli ultimi giorni si è acceso un dibattito attorno alla fuga di dati che ha coinvolto numerose strutture alberghiere italiane. Ne abbiamo già parlato su Red Hot Cyber, ma le evoluzioni non si sono fatte attendere.

Dopo la pubblicazione del nostro articolo, la redazione è stata contattata da un servizio IT di una delle strutture colpite: da quel confronto sono emerse conferme importanti e nuove informazioni che ci hanno permesso di condurre attività di Cyber Threat Intelligence (CTI) e di ricostruire meglio la dinamica degli eventi.

Non un problema dei singoli hotel, ma della piattaforma cloud condivisa

Fin dall’inizio avevamo ipotizzato che l’esfiltrazione dei documenti non fosse legata ai sistemi interni dei singoli hotel, ma piuttosto a un servizio SaaS centralizzato.

Questa ipotesi si è rivelata fondata:

• le evidenze raccolte nel dark web dimostrano che per oltre il 99% degli hotel compromessi erano già disponibili credenziali valide, rubate tra il 2023 e il 2024 tramite malware infostealer;
• le stesse credenziali, appartenenti al personale amministrativo degli hotel, sono state con ogni probabilità riutilizzate dagli attaccanti per accedere alla piattaforma cloud e sottrarre i dati.

Dalle nostre analisi emerge con forte probabilità che l’attacco non sia partito da sofisticati exploit, ma da campagne mirate di phishing: email ben confezionate, spesso camuffate da conferme di prenotazioni o arrivi imminenti, hanno indotto il personale a scaricare ed eseguire file malevoli.

Da lì, gli infostealer hanno fatto il resto: raccolta delle credenziali, esfiltrazione e successiva vendita nei marketplace underground.

Un dettaglio ancora più preoccupante

C’è però un ulteriore elemento che complica la vicenda. Tra le credenziali circolanti nel dark web non figurano soltanto account appartenenti agli hotel clienti, ma anche un utente riconducibile al personale IT della piattaforma SaaS stessa.

Se confermato, questo significherebbe che gli attaccanti avrebbero potuto disporre non solo di accessi operativi dei clienti, ma anche di credenziali interne, con potenziali privilegi ben più estesi. Uno scenario che apre interrogativi inquietanti sul livello di sicurezza complessivo dell’infrastruttura.

Un ulteriore punto critico riguarda la sicurezza degli accessi: dalle informazioni raccolte sembra che misure come l’autenticazione a due fattori siano disponibili solo per i pannelli di gestione più avanzati, ma non per l’interfaccia operativa utilizzata quotidianamente dal personale.

Si tratta di un limite che, se confermato, renderebbe ancora più semplice per un attaccante sfruttare credenziali rubate senza dover superare ulteriori barriere di sicurezza.

Lezioni apprese

Questa vicenda conferma ciò che in molti già sospettavano: il vero tallone d’Achille oggi non sono i sistemi, ma le persone e le loro credenziali:

• Gli infostealer sono la minaccia silenziosa che alimenta gran parte degli abusi nel dark web;
• Le credenziali rubate rappresentano il punto di partenza di campagne che colpiscono settori interi;
• La difesa richiede non solo tecnologie (MFA, monitoraggio del dark web, rotazione password), ma soprattutto processi e formazione.

Questa vicenda è l’ennesima conferma che la cybersicurezza non può limitarsi alla tecnologia: antivirus, EDR/XDR, firewall e buone pratiche restano fondamentali, ma da soli non bastano.

Serve anche un’attività costante di intelligence, capace di monitorare i marketplace del dark web, intercettare le credenziali rubate e fornire segnali di allarme prima che diventino veri e propri incidenti.

L'articolo Dark web e hotel italiani: rubati documenti con credenziali lecite di una piattaforma cloud proviene da il blog della sicurezza informatica.