Salta al contenuto principale

friendica (DFRN) - Collegamento all'originale

Vendita stadio San Siro, accordo raggiunto tra club e Comune di Milano

[quote]MILANO – Luci a San Siro, stavolta per davvero. Accordo trovato tra il Comune di Milano e Inter e Milan per la vendita dello stadio. “Se tutto va bene mercoledì…
L'articolo Vendita stadio San Siro, accordo lumsanews.it/vendita-di-san-si…

friendica (DFRN) - Collegamento all'originale

Vannacci attacca la sinistra: “Reazione a omicidio Kirk mostra che violenza è sempre lì”

[quote]ROMA – Fare dei distinguo su un fatto estremamente grave come l’omicidio di Charlie Kirk negli Stati Uniti è “una cosa vergognosa”. Parola di Roberto Vannacci. Per il vice segretario…
L'articolo Vannacci attacca la sinistra: “Reazione a omicidio Kirk mostra che

friendica (DFRN) - Collegamento all'originale

Draghi scuote Bruxelles: “L’inazione minaccia la sovranità europea”

[quote]Draghi: "A un anno di distanza, l'Europa si trova in una situazione più difficile. Il nostro modello di crescita sta svanendo"
L'articolo Draghi scuote Bruxelles: “L’inazione minaccia la sovranità europea” su lumsanews.it/draghi-scuote-bru…

friendica (DFRN) - Collegamento all'originale

Trump, visita nel Regno Unito mentre Zelensky gli chiede chiarezza sulla fine della guerra

[quote]LONDRA – Se il governo britannico prova a strappare concessioni al presidente degli Stati Uniti Donald Trump in visita nel Regno Unito per i prossimi tre giorni, il presidente ucraino…
L'articolo Trump, visita nel Regno Unito mentre Zelensky gli chiede

friendica (DFRN) - Collegamento all'originale

Assalto finale a Gaza City, l’Onu denuncia: “È genocidio” (Il Fatto del giorno)

L'articolo Assalto finale a Gaza City, l’Onu denuncia: “È genocidio” (Il Fatto del giorno) su Lumsanews.

@Universitaly: università & universitari

lumsanews.it/assalto-finale-a-…

@Universitaly: università & universitari

friendica (DFRN) - Collegamento all'originale

Eurovision 2026, monta la protesta: “Con Israele non partecipiamo”. La Spagna si unisce

[quote]VIENNA – L’Eurovision rischia di trasformarsi in un campo di battaglia. Le emittenti pubbliche di diversi paesi europei hanno annunciato che non parteciperanno alla più seguita competizione musicale se verrà…
L'articolo Eurovision 2026, monta la protesta: “Con

friendica (DFRN) - Collegamento all'originale

Caso Kirk, la confessione di Robinson su Discord:”Sono stato io”. Vance eredita il podcast

[quote]UTAH – “Hey ragazzi, ho delle cattive notizie per voi. Sono stato io ieri. Mi dispiace per tutto questo”. Con questo messaggio sul sito online Discord il ventiduenne Tyler Robinson,…
L'articolo Caso Kirk, la confessione di Robinson su Discord:”Sono stato io”.

friendica (DFRN) - Collegamento all'originale

Serious Chemical Threat Sniffer on a Budget

Street with polluted smoggy air

Chemical warfare detection was never supposed to be a hobbyist project. Yet here we are: Air Quality Guardian by [debdoot], the self-proclaimed world’s first open source chemical threat detection system, packs lab-grade sensing into an ESP32-based build for less than $100. Compare that with $10,000+ black-box hardware and you see why this is worth trying at home.

It’s nothing like your air monitor from IKEA. Unlike those, or the usual indoor monitors, this device goes full counter-surveillance. It sniffs for organophosphates, carbamates, even stealth low-VOC agents designed to trick consumer sensors. It flags when incense or frying oil is used to mask something nastier. It does so by analysing raw gas sensor resistance – ohm-level data most devices throw away – combined with temporal spikes, humidity correlations, and a database of 35+ signatures.

This technology – once only available in expensive military labs – can be useful in many situations: journalists or whistleblowers can record signs of chemical harassment, safehouses can notice when their air changes in suspicious ways, and researchers can test strange environmental events. Of course, you must take care with calibration, and sometimes the system may give a false alarm. Still, just having such a detector visible already makes attacks less likely.

Featured Image by Arjun Lama on Unsplash

hackaday.com/2025/09/16/seriou…

friendica (DFRN) - Collegamento all'originale
“Quando padre Alejandro ha concluso il suo mandato, dopo ventiquattro anni nel governo dell’Ordine, è stato un momento carico di emozione per lui e per noi”.

Agostiniani: p. Farrell, “l’unità resta il cuore della nostra vocazione, così vogliamo servire la Chiesa” - AgenSIR

Riccardo Benotti (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Atto finale a Gaza, i tank di Israele invadono la Striscia


@Giornalismo e disordine informativo
articolo21.org/2025/09/atto-fi…
L’orribile affermazione del ministro della Difesa israeliano Israel Katz, felice di annunciare con un tweet su X che “Gaza sta bruciando”, non è soltanto una provocazione insensata, ma la

@Giornalismo e disordine informativo

friendica (DFRN) - Collegamento all'originale

Fmi: “Economia italiana solida”. Ma pesano debito elevato e bassa produttività

[quote]“In un contesto di incertezza globale, l’economia italiana dimostra una certa solidità. Lo scorso anno le finanze pubbliche hanno registrato risultati migliori del previsto, con un avanzo primario pari allo…
L'articolo Fmi: “Economia italiana solida”. Ma pesano debito elevato e

friendica (DFRN) - Collegamento all'originale

Mattarella ricorda Willy Monteiro: “È un nostro ragazzo. La violenza è debolezza”

[quote]COLLEFERRO – “La violenza non è forza ma debolezza”. Ad affermarlo fu Benedetto Croce. Oggi, a ricordarlo con fermezza, è il Presidente della Repubblica Sergio Mattarella, intervenuto nel corso di…
L'articolo Mattarella ricorda Willy Monteiro: “È un nostro ragazzo. La violenza

friendica (DFRN) - Collegamento all'originale

Israele è uno stato genocida: la commissione Onu lo conferma


@Notizie dall'Italia e dal mondo
L'inchiesta afferma che i leader israeliani hanno orchestrato una campagna genocida, con l’obiettivo di annientare la popolazione palestinese, e che le forze israeliane hanno intenzionalmente ucciso civili come parte di una strategia sistematica.
L'articolo Israele è uno stato

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

Fermata la baby gang dell’hi-tech che rubava le vetture in sharing

Servizio di Elisabetta Guglielmi e Filippo Saggioro
L'articolo Fermata la baby gang dell’hi-tech che rubava le vetture in sharing su Lumsanews.

@Universitaly: università & universitari

lumsanews.it/fermata-la-baby-g…

@Universitaly: università & universitari

friendica (DFRN) - Collegamento all'originale

Champions League al via, in campo Juventus-Borussia Dortmund. Tudor cambia l’attacco

[quote]ROMA – L’attesa è finita. La Champions League 2025/26 prende il via oggi, 16 settembre, con una tre giorni di alto livello che vedrà in campo anche le grandi squadre…
L'articolo Champions League al via, in campo Juventus-Borussia Dortmund. Tudor cambia l’attacco su

friendica (DFRN) - Collegamento all'originale

Ventotene, prima conferenza europea di per la libertà e la democrazia


@Giornalismo e disordine informativo
articolo21.org/2025/09/ventote…
Dal 12 al 14 settembre si è tenuta a Ventotene, isola capitale ideale d’Europa, la Prima conferenza europea per la libertà e la democrazia, organizzata dall’Ufficio

@Giornalismo e disordine informativo

friendica (DFRN) - Collegamento all'originale

LIBIA. Accordo tra governo e milizia Radaa


@Notizie dall'Italia e dal mondo
Dopo mesi di tensione armata e di trattative sotterranee, il governo della Libia ha raggiunto un accordo con la potente milizia Radaa, che da anni controlla ampie porzioni di Tripoli
L'articolo LIBIA. Accordo tra governo e milizia Radaa pagineesteri.it/2025/09/16/afr…

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale

Washington e Pechino, c’è l’accordo su TikTok. L’annuncio di Trump

PECHINO – Accordo raggiunto tra Cina e Stati Uniti sul futuro di TikTok. Lo ha fatto trapelare direttamente il presidente degli Stati Uniti Donald Trump sul social Truth: “È stata…
L'articolo Washington e Pechino, c’è l’accordo su TikTok. L’annuncio di Trump su Lumsanews.

@Universitaly: università & universitari

@Universitaly: università & universitari

friendica (DFRN) - Collegamento all'originale

Gli occhiali smart di Meta hanno un problema con la Cina

L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Meta dipende da un'azienda cinese, Goertek, per la manifattura dei suoi dispositivi per la realtà aumentata e virtuale. Il legame è così forte che a Goertek sarà affidata anche la produzione dei nuovi occhiali "smart" Hypernova. Ma la società di

#StartMag @Informatica (Italy e non Italy 😁)

friendica (DFRN) - Collegamento all'originale

Veramente da ridere... anche per chi non è di Genova... un po' di sana ironia non fa male

ilmugugnogenovese.it/clamoroso…


CLAMOROSO al Liceo D'Oria: SUV non trova posto in 6° fila, la bimba è costretta fare più di 20 metri a piedi.

Scandaloso quanto successo questa mattina: siamo solo al primo giorno di scuola e siamo già nel completo delirio. Questa mattina un pikkolo ancielo (neo
Gabriele Rastaldo (Il Mugugno Genovese)

friendica (DFRN) - Collegamento all'originale

L’Europa può “unirsi attorno” al Rapporto Draghi, afferma von der Leyen

L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale
L’Europa può unirsi “attorno” al Rapporto Draghi per dare una risposta ai cittadini europei. È questo il messaggio lanciato dalla presidente della Commissione europea, Ursula

#Euractiv @Intelligenza Artificiale

friendica (DFRN) - Collegamento all'originale

Draghi invita l’UE ad agire come una “federazione” e rilancia sull’importanza del debito comune

L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale
L’Europa deve iniziare ad agire meno come una confederazione e più come una federazione, secondo l’ex presidente della Banca

#Euractiv @Intelligenza Artificiale

lgsp reshared this.

friendica (DFRN) - Collegamento all'originale

RevengeHotels: a new wave of attacks leveraging LLMs and VenomRAT


Background


RevengeHotels, also known as TA558, is a threat group that has been active since 2015, stealing credit card data from hotel guests and travelers. RevengeHotels’ modus operandi involves sending emails with phishing links which redirect victims to websites mimicking document storage. These sites, in turn, download script files to ultimately infect the targeted machines. The final payloads consist of various remote access Trojan (RAT) implants, which enable the threat actor to issue commands for controlling compromised systems, stealing sensitive data, and maintaining persistence, among other malicious activities.

In previous campaigns, the group was observed using malicious emails with Word, Excel, or PDF documents attached. Some of them exploited the CVE-2017-0199 vulnerability, loading Visual Basic Scripting (VBS), or PowerShell scripts to install customized versions of different RAT families, such as RevengeRAT, NanoCoreRAT, NjRAT, 888 RAT, and custom malware named ProCC. These campaigns affected hotels in multiple countries across Latin America, including Brazil, Argentina, Chile, and Mexico, but also hotel front-desks globally, particularly in Russia, Belarus, Turkey, and so on.

Later, this threat group expanded its arsenal by adding XWorm, a RAT with commands for control, data theft, and persistence, amongst other things. While investigating the campaign that distributed XWorm, we identified high-confidence indicators that RevengeHotels also used the RAT tool named DesckVBRAT in their operations.

In the summer of 2025, we observed new campaigns targeting the same sector and featuring increasingly sophisticated implants and tools. The threat actors continue to employ phishing emails with invoice themes to deliver VenomRAT implants via JavaScript loaders and PowerShell downloaders. A significant portion of the initial infector and downloader code in this campaign appears to be generated by large language model (LLM) agents. This suggests that the threat actor is now leveraging AI to evolve its capabilities, a trend also reported among other cybercriminal groups.

The primary targets of these campaigns are Brazilian hotels, although we have also observed attacks directed at Spanish-speaking markets. Through a comprehensive analysis of the attack patterns and the threat actor’s modus operandi, we have established with high confidence that the responsible actor is indeed RevengeHotels. The consistency of the tactics, techniques, and procedures (TTPs) employed in these attacks aligns with the known behavior of RevengeHotels. The infrastructure used for payload delivery relies on legitimate hosting services, often utilizing Portuguese-themed domain names.

Initial infection


The primary attack vector employed by RevengeHotels is phishing emails with invoicing themes, which urge the recipient to settle overdue payments. These emails are specifically targeted at email addresses associated with hotel reservations. While Portuguese is a common language used in these phishing emails, we have also discovered instances of Spanish-language phishing emails, indicating that the threat actor’s scope extends beyond Brazilian hospitality establishments and may include targets in Spanish-speaking countries or regions.

Example of a phishing email about a booking confirmation
Example of a phishing email about a booking confirmation

In recent instances of these attacks, the themes have shifted from hotel reservations to fake job applications, where attackers sent résumés in an attempt to exploit potential job opportunities at the targeted hotels.

Malicious implant


The malicious websites, which change with each email, download a WScript JS file upon being visited, triggering the infection process. The filename of the JS file changes with every request. In the case at hand, we analyzed Fat146571.js (fbadfff7b61d820e3632a2f464079e8c), which follows the format Fat\{NUMBER\}.js, where “Fat” is the beginning of the Portuguese word “fatura”, meaning “invoice”.

The script appears to be generated by a large language model (LLM), as evidenced by its heavily commented code and a format similar to those produced by this type of technology. The primary function of the script is to load subsequent scripts that facilitate the infection.

A significant portion of the new generation of initial infectors created by RevengeHotels contains code that seems to have been generated by AI. These LLM-generated code segments can be distinguished from the original malicious code by several characteristics, including:

  • The cleanliness and organization of the code
  • Placeholders, which allow the threat actor to insert their own variables or content
  • Detailed comments that accompany almost every action within the code
  • A notable lack of obfuscation, which sets these LLM-generated sections apart from the rest of the code

AI generated code in a malicious implant as compared to custom code
AI generated code in a malicious implant as compared to custom code

Second loading step


Upon execution, the loader script, Fat\{NUMBER\}.js, decodes an obfuscated and encoded buffer, which serves as the next step in loading the remaining malicious implants. This buffer is then saved to a PowerShell (PS1) file named SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1 (d5f241dee73cffe51897c15f36b713cc), where “\{TIMESTAMP\}” is a generated number based on the current execution date and time. This ensures that the filename changes with each infection and is not persistent. Once the script is saved, it is executed three times, after which the loader script exits.

The script SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1 runs a PowerShell command with Base64-encoded code. This code retrieves the cargajecerrr.txt (b1a5dc66f40a38d807ec8350ae89d1e4) file from a remote malicious server and invokes it as PowerShell.

This downloader, which is lightly obfuscated, is responsible for fetching the remaining files from the malicious server and loading them. Both downloaded files are Base64-encoded and have descriptive names: venumentrada.txt (607f64b56bb3b94ee0009471f1fe9a3c), which can be interpreted as “VenomRAT entry point”, and runpe.txt (dbf5afa377e3e761622e5f21af1f09e6), which is named after a malicious tool for in-memory execution. The first file, venumentrada.txt, is a heavily obfuscated loader (MD5 of the decoded file: 91454a68ca3a6ce7cb30c9264a88c0dc) that ensures the second file, a VenomRAT implant (3ac65326f598ee9930031c17ce158d3d), is correctly executed in memory.

The malicious code also exhibits characteristics consistent with generation by an AI interface, including a coherent code structure, detailed commenting, and explicit variable naming. Moreover, it differs significantly from previous samples, which had a structurally different, more obfuscated nature and lacked comments.

Exploring VenomRAT


VenomRAT, an evolution of the open-source QuasarRAT, was first discovered in mid-2020 and is offered on the dark web, with a lifetime license costing up to $650. Although the source code of VenomRAT was leaked, it is still being sold and used by threat actors.

VenomRAT packages on the dark web
VenomRAT packages on the dark web

According to the vendor’s website, VenomRAT offers a range of capabilities that build upon and expand those of QuasarRAT, including HVNC hidden desktop, file grabber and stealer, reverse proxy, and UAC exploit, amongst others.

As with other RATs, VenomRAT clients are generated with custom configurations. The configuration data within the implant (similar to QuasarRAT) is encrypted using AES and PKCS #5 v2.0, with two keys employed: one for decrypting the data and another for verifying its authenticity using HMAC-SHA256. Throughout the malware code, different sets of keys and initialization vectors are used sporadically, but they consistently implement the same AES algorithm.

Anti-kill


It is notable that VenomRAT features an anti-kill protection mechanism, which can be enabled by the threat actor upon execution. Initially, the RAT calls a function named EnableProtection, which retrieves the security descriptor of the malicious process and modifies the Discretionary Access Control List (DACL) to remove any permissions that could hinder the RAT’s proper functioning or shorten its lifespan on the system.

The second component of this anti-kill measure involves a thread that runs a continuous loop, checking the list of running processes every 50 milliseconds. The loop specifically targets those processes commonly used by security analysts and system administrators to monitor host activity or analyze .NET binaries, among other tasks. If the RAT detects any of these processes, it will terminate them without prompting the user.

List of processes that the malware looks for to terminate
List of processes that the malware looks for to terminate

The anti-kill measure also involves persistence, which is achieved through two mechanisms written into a VBS file generated and executed by VenomRAT. These mechanisms ensure the malware’s continued presence on the system:

  1. Windows Registry: The script creates a new key under HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, pointing to the executable path. This allows the malware to persist across user sessions.
  2. Process: The script runs a loop that checks for the presence of the malware process in the process list. If it is not found, the script executes the malware again.

If the user who executed the malware has administrator privileges, the malware takes additional steps to ensure its persistence. It sets the SeDebugPrivilege token, enabling it to use the RtlSetProcessIsCritical function to mark itself as a critical system process. This makes the process “essential” to the system, allowing it to persist even when termination is attempted. However, when the administrator logs off or the computer is about to shut down, VenomRAT removes its critical mark to permit the system to proceed with these actions.

As a final measure to maintain persistence, the RAT calls the SetThreadExecutionState function with a set of flags that forces the display to remain on and the system to stay in a working state. This prevents the system from entering sleep mode.

Separately from the anti-kill methods, the malware also includes a protection mechanism against Windows Defender. In this case, the RAT actively searches for MSASCui.exe in the process list and terminates it. The malware then modifies the task scheduler and registry to disable Windows Defender globally, along with its various features.

Networking


VenomRAT employs a custom packet building and serialization mechanism for its networking connection to the C2 server. Each packet is tailored to a specific action taken by the RAT, with a dedicated packet handler for each action. The packets transmitted to the C2 server undergo a multi-step process:

  1. The packet is first serialized to prepare it for transmission.
  2. The serialized packet is then compressed using LZMA compression to reduce its size.
  3. The compressed packet is encrypted using AES-128 encryption, utilizing the same key and authentication key mentioned earlier.

Upon receiving packets from the C2 server, VenomRAT reverses this process to decrypt and extract the contents.

Additionally, VenomRAT implements tunneling by installing ngrok on the infected computer. The C2 server specifies the token, protocol, and port for the tunnel, which are sent in the serialized packet. This allows remote control services like RDP and VNC to operate through the tunnel and to be exposed to the internet.

USB spreading


VenomRAT also possesses the capability to spread via USB drives. To achieve this, it scans drive letters from C to M and checks if each drive is removable. If a removable drive is detected, the RAT copies itself to all available drives under the name My Pictures.exe.

Extra stealth steps


In addition to copying itself to another directory and changing its executable name, VenomRAT employs several stealth techniques that distinguish it from QuasarRAT. Two notable examples include:

  • Deletion of Zone.Identifier streams: VenomRAT deletes the Mark of the Web streams, which contain metadata about the URL from which the executable was downloaded. By removing this information, the RAT can evade detection by security tools like Windows Defender and avoid being quarantined, while also eliminating its digital footprint.
  • Clearing Windows event logs: The malware clears all Windows event logs on the compromised system, effectively creating a “clean slate” for its operations. This action ensures that any events generated during the RAT’s execution are erased, making it more challenging for security analysts to detect and track its activities.


Victimology


The primary targets of RevengeHotels attacks continue to be hotels and front desks, with a focus on establishments located in Brazil. However, the threat actors have been adapting their tactics, and phishing emails are now being sent in languages other than Portuguese. Specifically, we’ve observed that emails in Spanish are being used to target hotels and tourism companies in Spanish-speaking countries, indicating a potential expansion of the threat actor’s scope. Note that among earlier victims of this threat are such Spanish-speaking countries as Argentina, Bolivia, Chile, Costa Rica, Mexico, and Spain.

It is important to point out that previously reported campaigns have mentioned the threat actor targeting hotel front desks globally, particularly in Russia, Belarus, and Turkey, although no such activity has yet been detected during the latest RevengeHotels campaign.

Conclusions


RevengeHotels has significantly enhanced its capabilities, developing new tactics to target the hospitality and tourism sectors. With the assistance of LLM agents, the group has been able to generate and modify their phishing lures, expanding their attacks to new regions. The websites used for these attacks are constantly rotating, and the initial payloads are continually changing, but the ultimate objective remains the same: to deploy a remote access Trojan (RAT). In this case, the RAT in question is VenomRAT, a privately developed variant of the open-source QuasarRAT.

Kaspersky products detect these threats as HEUR:Trojan-Downloader.Script.Agent.gen, HEUR:Trojan.Win32.Generic, HEUR:Trojan.MSIL.Agent.gen, Trojan-Downloader.PowerShell.Agent.ady, Trojan.PowerShell.Agent.aqx.

Indicators of compromise


fbadfff7b61d820e3632a2f464079e8c Fat146571.js
d5f241dee73cffe51897c15f36b713cc SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1
1077ea936033ee9e9bf444dafb55867c cargajecerrr.txt
b1a5dc66f40a38d807ec8350ae89d1e4 cargajecerrr.txt
dbf5afa377e3e761622e5f21af1f09e6 runpe.txt
607f64b56bb3b94ee0009471f1fe9a3c venumentrada.txt
3ac65326f598ee9930031c17ce158d3d deobfuscated runpe.txt
91454a68ca3a6ce7cb30c9264a88c0dc deobfuscated venumentrada.txt

securelist.com/revengehotels-a…

#5

friendica (DFRN) - Collegamento all'originale
"Solo l’amore di Dio in Cristo motiva ogni vocazione. Voi oggi diventate preti perché il mondo si salvi ricevendo Lui, il Mediatore tra Dio e gli uomini.

Agostiniani Scalzi: mons. Marcianò (Frosinone) ordina due nuovi sacerdoti. “Solo l’amore di Dio in Cristo motiva ogni vocazione” - AgenSIR

Raffaele Iaria (AgenSIR)

friendica (DFRN) - Collegamento all'originale
Eric Ambler – Viaggio nella paura
freezonemagazine.com/rubriche/…
È il gennaio 1940, il mondo attende una «una primavera sanguinosa», e Mr. Graham, ingegnere inglese specializzato in artiglieria navale, si appresta a lasciare Istanbul dopo aver assicurato alla propria azienda l’appalto per il riequipaggiamento della flotta militare turca. Graham è un tipo tranquillo, simpatico, con una mente matematica e la cordialità senza smancerie di […]
L'articolo

friendica (DFRN) - Collegamento all'originale

Vulnerabilità critica in Linux: exploit 0-click N-Days permette l’esecuzione di codice remoto

Un ricercatore di sicurezza ha recentemente sviluppato unexploit 0-click per il demone kernel SMB3 di Linux (ksmbd), sfruttando due vulnerabilità specifiche. Questo exploit consente l’esecuzione di codice remoto (RCE) in modalità kernel senza alcuna interazione da parte dell’utente, rappresentando una minaccia significativa per i sistemi vulnerabili.

Il primo bug, identificato come CVE-2023-52440, riguarda un overflow SLUB nel metodo ksmbd_decode_ntlmssp_auth_blob(). Questo errore si verifica durante l’autenticazione NTLM, quando la lunghezza della chiave di sessione (sess_key_len) è controllata dall’utente.

Impostando un valore eccessivo per questa lunghezza, è possibile sovrascrivere porzioni di memoria adiacenti, consentendo l’esecuzione di codice arbitrario. L’exploit è stato testato su una versione 6.1.45 di Linux, con tutte le mitigazioni standard attive, come SMAP, SMEP, KPTI, KASLR e altre.

Il secondo bug, CVE-2023-4130, è una vulnerabilità di lettura fuori dai limiti (OOB read) nel metodo smb2_set_ea(). Questa falla consente a un utente autenticato di leggere dati sensibili dalla memoria kernel, sfruttando la gestione errata degli attributi estesi (xattr) nei file condivisi tramite SMB3. La combinazione di queste due vulnerabilità permette di ottenere un controllo completo sul sistema bersaglio.

L’exploit sviluppato utilizza una tecnica di “heap spraying” per manipolare la memoria heap, creando condizioni favorevoli per l’esecuzione del codice maligno. Una volta ottenuto l’accesso alla memoria kernel, viene eseguita una catena di ritorno (ROP) per eseguire un reverse shell, ottenendo così il controllo remoto del sistema. Questo processo avviene senza alcuna interazione da parte dell’utente, rendendo l’attacco particolarmente insidioso.

Il ricercatore ha testato l’exploit su un sistema con un singolo core x86_64, ma ha osservato che su sistemi multi-core l’affidabilità dell’exploit diminuisce a causa della gestione per CPU delle allocazioni di memoria. Inoltre, l’exploit può causare instabilità nel sistema bersaglio, richiedendo interventi per ripristinare la stabilità dopo l’esecuzione dell’attacco.

Per mitigare questa vulnerabilità, è consigliabile aggiornare il sistema alla versione più recente del kernel Linux, in quanto le versioni successive alla 6.1.45 hanno corretto entrambe le vulnerabilità. Inoltre, è importante configurare correttamente i permessi di accesso alle condivisioni SMB, limitando l’accesso in scrittura solo agli utenti autorizzati. Disabilitare l’esposizione di ksmbd su Internet e monitorare attivamente le attività sospette possono contribuire a ridurre il rischio di sfruttamento di questa vulnerabilità.

Questo caso evidenzia l’importanza di mantenere aggiornati i sistemi e di applicare le best practice di sicurezza per prevenire attacchi sofisticati come questo. La comunità di ricerca sulla sicurezza continua a monitorare e analizzare tali vulnerabilità per migliorare la protezione dei sistemi informatici.

L'articolo Vulnerabilità critica in Linux: exploit 0-click N-Days permette l’esecuzione di codice remoto proviene da il blog della sicurezza informatica.

friendica (DFRN) - Collegamento all'originale

Allarme sicurezza per i server di intelligenza artificiale: migliaia sono a rischio

I sistemi di intelligenza artificiale sono sempre più sotto attacco. Il dato emerge da “Trend Micro State of AI Security Report, 1H 2025. L’azienda esorta gli addetti ai lavori e i leader della comunità IT a seguire le migliori pratiche per l’implementazione di stack applicativi IA sicuri, al fine di evitare furti di dati, avvelenamento dei modelli, richieste di estorsioni e altri attacchi.

“L’intelligenza artificiale potrebbe essere l’opportunità del secolo per le aziende di tutto il mondo, ma le organizzazioni che non prevedono adeguate precauzioni potrebbero finire per sperimentare più danni che benefici. Come rivela la nostra ultima ricerca, sono troppe le infrastrutture di intelligenza artificiale che vengono costruite con componenti non protetti o privi di patch, dando il via libera ad attività cybercriminali”. Afferma Salvatore Marcis, Country Manager di Trend Micro Italia.

Di seguito, le principali sfide alla sicurezza dell’IA identificate dalla ricerca Trend Micro:

  1. Vulnerabilità/exploit in componenti critici: Le organizzazioni che sviluppano, distribuiscono e utilizzano applicazioni IA sfruttano diversi componenti e framework software specializzati, che potrebbero contenere vulnerabilità riscontrabili nei normali software. Lo studio rivela vulnerabilità ed exploit zero-day nei componenti principali, tra cui ChromaDB, Redis, NVIDIA Triton e NVIDIA Container Toolkit
  2. Esposizione accidentale a internet: Le vulnerabilità sono spesso il risultato di tempistiche di sviluppo e implementazione affrettate. Questo vale anche per i sistemi di intelligenza artificiale, che possono essere accidentalmente esposti a Internet, dove vengono analizzati dai cybercriminali. Trend ha rilevato oltre 200 server ChromaDB, 2.000 server Redis e oltre 10.000 server Ollama esposti a Internet senza autenticazione
  3. Vulnerabilità in componenti open-source: Molti framework e piattaforme di intelligenza artificiale utilizzano librerie software open source per fornire funzionalità comuni. Tuttavia, i componenti open source contengono spesso vulnerabilità che finiscono per insinuarsi nei sistemi di produzione, dove sono difficili da rilevare. Nel recente Pwn2Own di Berlino, che includeva la nuova categoria AI, i ricercatori hanno scoperto un exploit per il database vettoriale Redis, che derivava da un componente Lua obsoleto
  4. Debolezza a livello container: Gran parte dell’infrastruttura IA viene eseguita su container, questo significa che è esposta alle stesse vulnerabilità e minacce di sicurezza che influiscono sugli ambienti cloud e container. Come sottolineato nello studio, i ricercatori di Pwn2Own sono stati in grado di scoprire un exploit di NVIDIA Container Toolkit. Le organizzazioni, per mitigare i rischi, dovrebbero “sanificare” i dati in input e monitorare il comportamento in fase di esecuzione

La comunità degli sviluppatori e le aziende devono bilanciare al meglio la sicurezza con il time-to-market. Misure concrete potrebbero includere:

  • Una migliore gestione delle patch e scansione delle vulnerabilità
  • Il mantenimento di un inventario di tutti i componenti software, comprese librerie e sottosistemi di terze parti
  • L’adozione di best practice per la sicurezza della gestione dei container, incluso l’utilizzo di immagini di base minime e strumenti di sicurezza a runtime
  • Controlli di configurazione per garantire che i componenti dell’infrastruttura IA, come i server, non siano esposti a Internet


L'articolo Allarme sicurezza per i server di intelligenza artificiale: migliaia sono a rischio proviene da il blog della sicurezza informatica.

friendica (DFRN) - Collegamento all'originale
La Costituzione Apostolica Veritatis Gaudium affida alle facoltà ecclesiastiche il compito di coltivare e promuovere le discipline che servono alla missione della Chiesa, per considerare alla luce della Rivelazione i nuovi problemi che sorgono nel mo…

Liturgia, via di comunione: a Sant’Anselmo il corso internazionale per formare i responsabili diocesani - AgenSIR

Riccardo Benotti (AgenSIR)

friendica (DFRN) - Collegamento all'originale

ecco la destra usa non violenta... mica come la sinistra.

linkiesta.it/2025/09/stati-uni…

Enter a title

www.linkiesta.it

friendica (DFRN) - Collegamento all'originale
ma veramente... armi si, libertà di espressione no? ma cosa sono gli stati uniti? per partorire questa "cosa" chiamata trump. poi pure brutto.

Trump: 'Ho fatto causa al New York Times per 15 miliardi di dollari' - Notizie - Ansa.it

'E' uno dei giornali peggiori nella storia' Usa (ANSA)
Agenzia ANSA
in reply to simona

simona
friendica (DFRN) - Collegamento all'originale
simona
trump è uno dei peggiori presidenti della storia usa...

friendica (DFRN) - Collegamento all'originale
Il Papa ha ricevuto oggi a Castel Gandolfo Sua Santità Karekin II, Patriarca Supremo e Catholicos di Tutti gli Armeni, con il suo seguito, tra cui il card. Kurt Koch, Prefetto del Dicastero per la Promozione dell'Unità dei Cristiani.

Leone XIV: riceve Karekin II a Castel Gandolfo - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Celam: presidenza in udienza da Papa Leone XIV,  “incontro fraterno, il Santo Padre ha anima latinoamericana. Vescovi incoraggiati a lavorare insieme”

L’udienza privata con Papa Leone XIV è stata un incontro fraterno che ha segnato la conclusione della visita apostolica della Presidenza del Consiglio Episcopale Latinoamericano e Caraibico (Celam) ai diversi dicasteri e dipendenze della Santa Sede.


Celam: presidenza in udienza da Papa Leone XIV, “incontro fraterno, il Santo Padre ha anima latinoamericana. Vescovi incoraggiati a lavorare insieme” - AgenSIR

M. Chiara Biagioni (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Jointly is a Typeface Designed for CNC Joinery

If you have a CNC router, you know you can engrave just about any text with the right tool, but Jointly is a typeface that isn’t meant to be engraved. That would be too easy for [CobyUnger]. His typeface “Jointly” is the first we’ve seen that’s meant to be used as joinery.

The idea is simple: carve mortises that take the shape of letters in one piece, and carve matching letter-tenons into the end of another. Push them together, and voila: a joint! To get this concept to work reliably, the font did have to be specially designed — both the inner and outer contours need to be accessible to a rotary cutting tool. Cutting tools get harder to use the smaller they go (or more fragile, at any rate) so with Jointly, the design spec was that any letters over 3/4″ (19.05 mm) tall needed to be handled with a 1/8″ (3.175 mm) rotary cutter.

This gives the font a friendly curved appearance we find quite fetching. Of course if you’re going to be cutting tenons into the end of a board, you’re going to need either some serious z-depth or an interesting jig to get the end of the board under the cutting head. It looks like [CobyUnger] has both, but he mentions the possibility of using a handheld CNC router as the cheaper option.

Speaking of routing out type, do you know the story of Gorton? You can’t make joinery with that typeface, but you’ve almost certainly seen it.

hackaday.com/2025/09/16/jointl…

friendica (DFRN) - Collegamento all'originale

Allarme Trojan DeliveryRAT: gli hacker rubano dati e soldi con app fasulle

Gli esperti di F6 e RuStore riferiscono di aver scoperto e bloccato 604 domini che facevano parte dell’infrastruttura degli hacker che hanno infettato i dispositivi mobili con il trojan DeliveryRAT. Il malware si mascherava da app di consegna di cibo a domicilio, marketplace, servizi bancari e servizi di tracciamento pacchi.

Nell’estate del 2024, gli analisti di F6 hanno scoperto un nuovo trojan Android, chiamato DeliveryRAT. Il suo compito principale era raccogliere dati riservati per l’elaborazione dei prestiti nelle organizzazioni di microfinanza, nonché rubare denaro tramite l’online banking.

Successivamente, è stato scoperto il bot Telegram del team Bonvi, in cui DeliveryRAT veniva distribuito utilizzando lo schema MaaS (Malware-as-a-Service). Si è scoperto che, tramite il bot, gli aggressori ricevevano un campione gratuito del Trojan, dopodiché dovevano consegnarlo loro stessi al dispositivo della vittima.

I proprietari del bot offrono due opzioni tra cui scegliere: scaricare l’APK compilato o ottenere un collegamento a un sito falso, presumibilmente generato separatamente per ogni worker.

I dispositivi delle vittime sono stati infettati utilizzando diversi scenari comuni. “Per attaccare la vittima, gli aggressori hanno utilizzato vari scenari ingegnosi: hanno creato falsi annunci di acquisto e vendita o falsi annunci di assunzione per lavoro da remoto con uno stipendio elevato”, afferma Evgeny Egorov, analista capo del Dipartimento di Protezione dai Rischi Digitali di F6. “Quindi il dialogo con la vittima viene trasferito ai servizi di messaggistica e la vittima viene convinta a installare un’applicazione mobile, che si rivela dannosa”.

Gli aggressori creano annunci con prodotti a prezzo scontato su marketplace o in negozi fittizi. Sotto le spoglie di un venditore o di un gestore, i criminali contattano la vittima tramite Telegram o WhatsApp e, durante la conversazione, la vittima fornisce loro i propri dati personali (nome completo del destinatario, indirizzo di consegna dell’ordine e numero di telefono). Per tracciare il falso ordine, il gestore chiede di scaricare un’applicazione dannosa.

Gli hacker creano anche falsi annunci di lavoro da remoto con buone condizioni e un buon stipendio. Le comunicazioni con la vittima vengono trasferite anche su servizi di messaggistica, dove prima raccolgono i suoi dati: SNILS, numero di carta, numero di telefono e data di nascita. Quindi, i truffatori chiedono di installare un’applicazione dannosa, presumibilmente necessaria per il lavoro.

Inoltre, gli esperti hanno individuato la distribuzione di post pubblicitari su Telegram che invitavano a scaricare un’applicazione infetta da DeliveryRAT. In questo caso, il malware era solitamente mascherato da applicazioni con sconti e codici promozionali.

Il rapporto sottolinea che questo schema fraudolento si è diffuso perché la creazione di link generati nei bot di Telegram non richiede particolari conoscenze tecniche. I ricercatori affermano inoltre che la caratteristica principale dello schema è l’elevato grado di automazione dei processi.

L'articolo Allarme Trojan DeliveryRAT: gli hacker rubano dati e soldi con app fasulle proviene da il blog della sicurezza informatica.

friendica (DFRN) - Collegamento all'originale
Papa Leone XIV è a Castel Gandolfo e rientrerà oggi in serata. A confermarlo ai giornalisti è la Sala Stampa vaticana. Papa Leone si è recato a Villa Barberini ieri sera.

Leone XIV: a Castelgandolfo, rientra stasera - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Datenschutzfreundliche Perioden-Apps: Zyklus-Tracking ohne Tracking

netzpolitik.org/2025/datenschu…

friendica (DFRN) - Collegamento all'originale

Idf, 'abbiamo iniziato a distruggere siti di Hamas a Gaza City'

tradotto:

siccome fino ad adesso non siamo riusciti a uccidere tutti i palestinesi, ci stiamo ancora provando e questa volta speriamo di riuscire. e cercheremo anche di sterminare tutti i bambini in modo che i palestinesi non abbiano una ricrescita. quel che rimane di gaza city sarà distrutto. una fine e mirata operazione di polizia e di intelligence insomma. incapaci.

friendica (DFRN) - Collegamento all'originale

🔴 BASTA POTERI SPECIALI

🔴 BASTA POTERI SPECIALI
Oltre 10mila le firme raccolte, talmente tante da dover organizzare la trasferta con destinazione Montecitorio per la prossima settimana.
Le faremo valere tutte!!

#Ambiente #StopInceneritore #NoInceneritore #NoInceneritori #ZeroWaste #Rifiuti #Riciclo #EconomiaCircolare #NoAlCarbone #EnergiaPulita

#economiacircolare #Ambiente #Rifiuti #energiapulita #riciclo #zerowaste #noinceneritore #stopinceneritore #noinceneritori #noalcarbone

friendica (DFRN) - Collegamento all'originale
Possibile che in italia un farmacista su un farmaco antidolorifico non capisca neppure che il piano terapeutico contenga il dosaggio massimo, ma poi a seconda dei dolori del momento, una persona possa trovare utile anche di un dosaggio più basso? E che si cerchi di usare sempre il dosaggio più basso possibile? Siamo in una civiltà di cretini. Sembra che questo di medicina non capiscano alcunché e che si limitino a fare dei magazzinieri. Forse dovrebbe toccare a tutto una persona malata da accudire e magari dopo capiscono come funziona il dolore.
in reply to simona

simona
friendica (DFRN) - Collegamento all'originale
simona
 — (Livorno)
le malattie esistono, i dolori esistono e non è che guardano solo le persone anziane. i farmaci sono pesanti e rincoglioniscono, ed è il paziente stesso che cerca di prendere il dosaggio più basso utile. a seconda della giornata, del mese, del caldo o di infiniti parametri. anche perché vorrebbe anche poi riuscire a fare qualcosa durante il giorno. parlo di una persona di 30 anni. ignorare tutto questo significa essere fuori dal mondo di chi neppure conosce cosa comporta prendersi cura di una persona malata. anche giovane. il farmacista non consiglia niente ma rifiuta di fornire lo stesso farmaco ma con un dosaggio più ridotto. non è che si possa modificare un piano terapeutico 2 volte al giorno a seconda della necessità. quanto detto è esattamente quello che sta avvenendo e non c'è da fare stime su cosa il farmacista suggerisca o pensi. quindi non è che il farmacista mi stia consigliando qualcosa. rebecca prende palgos 20, o depalgos 10, o depalgos 10-20 a seconda della necessità del momento. fra le altre infinite cose. chiaramente sul piano terapeutico c'è scritto depalgos 20. nessun medico fa i piani con tutti i dosaggi possibili. starebbe all'intelligenza del farmacista capire che quello è il dosaggio massimo. hai mai visto un piano terapeutico con indicato depalgos 5, depalgos 10, depalgos 20? no eh? infatti non si fa. si indica il dosaggio massimo. oltretutto il suo piano terapeutico già prevede 3 pagine di farmaci... cosa è? non è abbastanza lungo? a ogni livello siamo in mano a cretini assoluti. oltretutto ho pure il medico gentile che già sta a modificare mediamente il piano terapeutico 2 volte al mese per via dei farmaci che spariscono e vanno rimpiazzati pur mantenendo lo stesso principio attivo. c'è da uscirne di testa. se una virgola non torna devi cambiare il piano terapeutico. normalmente significa farsi fare l'impegnativa dal medico di base e prendere appuntamento dal medico tramite cup d aspettare la visita mesi.