In an era where running a website without HTTPS is shunned, and everyone wants you to encrypt your DNS queries, you’d expect that the telecommunications back-ends are secured tightly as well. Especially the wireless bits between terra firma and geosynchronous communication satellites.

But as recently discovered by US researchers, the opposite is actually true. The paper by [Wenyi Morty Zhang] et al. (PDF) goes into great detail on how they discovered these unencrypted IP traffic flows and what they found in these captures.

With an off-the-shelf consumer satellite dish mounted to the roof of a university building in San Diego, they performed a scan of IP traffic on 39 geosynchronous satellites. To their surprise, they found unencrypted data that belonged to companies like T-Mobile for their cellular backhaul, Internet traffic targeting airliners, and VoIP communication — all in the clear.

Even more worrying was what looked like military traffic and corporate VPN data containing unencrypted login details, corporate emails and much more. While T-Mobile immediately enabled encryption after this discovery, it remains to be seen whether anyone else will. It’s probably best to assume that any communication can be intercepted and to use e.g. PGP-encrypted emails for anything sensitive.

The researchers have made the IP encapsulation parser (in Python) for DVB-S2(X) captures available for anyone who wants to give this experiment a whirl themselves.

hackaday.com/2025/10/27/satell…

BIBLIOTECA UNIVERSITARIA ALESSANDRINA ~ APERTURA STRAORDINARIA

𝑺𝑨𝑩𝑨𝑻𝑶 𝟐𝟓 𝐎𝐓𝐓𝐎𝐁𝐑𝐄 𝟮𝟬𝟮𝟱 𝒐𝒓𝒆 𝟭𝟔:𝟑𝟬 ~ 𝑺𝒂𝒍𝒂 𝑩𝒊𝒐-𝒃𝒊𝒃𝒍𝒊𝒐𝒈𝒓𝒂𝒇𝒊𝒄𝒂

𝙄𝙇 𝙑𝙄𝙕𝙄𝙊 𝙎𝙐𝙋𝙍𝙀𝙈𝙊: 𝒊𝒍 𝒎𝒆𝒈𝒍𝒊𝒐 𝒅𝒊 𝑶𝑺𝑪𝑨𝑹 𝑾𝑰𝑳𝑫𝑬 𝒊𝒏 𝒑𝒐𝒆𝒔𝒊𝒂, 𝒏𝒂𝒓𝒓𝒂𝒕𝒊𝒗𝒂, 𝒔𝒂𝒈𝒈𝒊𝒔𝒕𝒊𝒄𝒂 𝒆 𝒅𝒓𝒂𝒎𝒎𝒂𝒕𝒖𝒓𝒈𝒊𝒂, 𝒕𝒓𝒂𝒅𝒐𝒕𝒕𝒐 𝒆 𝒊𝒏𝒕𝒆𝒓𝒑𝒓𝒆𝒕𝒂𝒕𝒐 𝒅𝒂 𝐒𝐈𝐋𝐕𝐈𝐎 𝐑𝐀𝐅𝐅𝐎

La 𝐁𝐢𝐛𝐥𝐢𝐨𝐭𝐞𝐜𝐚 𝐔𝐧𝐢𝐯𝐞𝐫𝐬𝐢𝐭𝐚𝐫𝐢𝐚 𝐀𝐥𝐞𝐬𝐬𝐚𝐧𝐝𝐫𝐢𝐧𝐚 𝐬𝐚𝐛𝐚𝐭𝐨 𝟐𝟓 𝐨𝐭𝐭𝐨𝐛𝐫𝐞 a partire dalle ore 𝟭𝟔:𝟑𝟬 ospiterà l’evento 𝙄𝙇 𝙑𝙄𝙕𝙄𝙊 𝙎𝙐𝙋𝙍𝙀𝙈𝙊: 𝒊𝒍 𝒎𝒆𝒈𝒍𝒊𝒐 𝒅𝒊 𝑶𝑺𝑪𝑨𝑹 𝑾𝑰𝑳𝑫𝑬 𝒊𝒏 𝒑𝒐𝒆𝒔𝒊𝒂, 𝒏𝒂𝒓𝒓𝒂𝒕𝒊𝒗𝒂, 𝒔𝒂𝒈𝒈𝒊𝒔𝒕𝒊𝒄𝒂 𝒆 𝒅𝒓𝒂𝒎𝒎𝒂𝒕𝒖𝒓𝒈𝒊𝒂, 𝒕𝒓𝒂𝒅𝒐𝒕𝒕𝒐 𝒆 𝒊𝒏𝒕𝒆𝒓𝒑𝒓𝒆𝒕𝒂𝒕𝒐 𝒅𝒂 𝐒𝐈𝐋𝐕𝐈𝐎 𝐑𝐀𝐅𝐅𝐎, curatore del volume 𝐎𝐬𝐜𝐚𝐫 𝐖𝐢𝐥𝐝𝐞, 𝙄𝑳 𝒗𝙞𝒛𝙞𝒐 𝒔𝙪𝒑𝙧𝒆𝙢𝒐: 𝙡𝒆 𝒑𝙞𝒖̀ 𝒃𝙚𝒍𝙡𝒆 𝒑𝙖𝒈𝙞𝒏𝙚 𝙨𝒄𝙚𝒍𝙩𝒆 𝒅𝙖 𝙎𝒊𝙡𝒗𝙞𝒐 𝑹𝙖𝒇𝙛𝒐, Milano, De Piante, 2025.

#silvioraffo#oscarwilde#biblioteca#library#poetry#poesia#letteratura#cultura#roma#CulturalHeritage#libri#libros#books#literatureintranslation#eventi#traduzione#translation

alessandrina.cultura.gov.it/%f…

Degli Hacker governativi hanno violato un impianto di produzione di componenti per armi nucleari negli Stati Uniti sfruttando le vulnerabilità di Microsoft SharePoint. L’incidente ha interessato il Kansas City National Security Campus (KCNSC), parte della National Nuclear Security Administration (NNSA) del Dipartimento dell’Energia degli Stati Uniti.

Secondo alcune fonti, l’attacco è avvenuto ad agosto e ha coinvolto lo sfruttamento dei bug non corretti monitorati con i CVE-2025-53770 e CVE-2025-49704 , che consentono l’esecuzione di codice remoto sul server SharePoint.

L’impianto, gestito da Honeywell Federal Manufacturing & Technologies, produce la maggior parte dei componenti meccanici ed elettronici non nucleari per l’arsenale nucleare statunitense. Ospita dipartimenti responsabili della metallografia, della chimica analitica, dei test ambientali e della modellazione.

Circa l’80% di tutti i componenti delle munizioni nucleari statunitensi viene prodotto qui, il che lo rende uno dei punti più sensibili dell’infrastruttura di difesa.

Microsoft ha rilasciato aggiornamenti di sicurezza il 19 luglio, ma gli aggressori hanno iniziato a sfruttare le vulnerabilità scoperte entro il 18. Il Dipartimento dell’Energia ha confermato gli attacchi, ma ha affermato che i danni sono stati limitati grazie alla migrazione della maggior parte dei sistemi sulla piattaforma cloud Microsoft 365. Gli interventi di ripristino sono stati effettuati con l’assistenza di specialisti della NSA, arrivati all’inizio di agosto.

Gli esperti non sono concordi sull’origine degli aggressori. Microsoft attribuisce l’ondata di exploit di SharePoint ai gruppi cinesi Linen Typhoon, Violet Typhoon e Storm-2603, che, secondo l’azienda, si stavano preparando a distribuire il malware Warlock.

Resecurity, che ha monitorato la campagna, ritiene che sia più probabile il coinvolgimento di attori cinesi, ma considera anche la possibilità che gruppi di altri paesi abbiano ottenuto l’accesso agli exploit tramite scambi sul darknet.

Secondo gli esperti, le vulnerabilità potrebbero essere state replicate dopo essere state dimostrate al Pwn2Own di Berlino dai ricercatori di Viettel Cyber Security, accelerando la diffusione degli exploit sul darknet.

Le scansioni e gli attacchi iniziali hanno avuto origine da server a Taiwan, Vietnam, Corea del Sud e Hong Kong, un’area geografica tipica per i gruppi APT cinesi che cercano di nascondere le proprie origini. Resecurity sottolinea che la campagna si basava sull’abuso del Microsoft Active Protections Program (MAPP), che fornisce ai partner un accesso anticipato ai dati sulle vulnerabilità. Tuttavia, dopo che i dettagli tecnici sono diventati pubblici, altri aggressori hanno iniziato a utilizzare gli exploit.

Sebbene l’attacco abbia preso di mira l’infrastruttura IT dell’azienda, gli esperti di sicurezza industriale sottolineano il rischio di una potenziale penetrazione nei sistemi operativi (OT) che controllano le linee di assemblaggio robotizzate, i controllori logici programmabili (PLC) e i sistemi SCADAresponsabili dell’alimentazione elettrica e del monitoraggio ambientale. Anche con l’isolamento fisico del circuito di produzione dalla rete aziendale, non si può escludere il rischio di una completa interruzione del canale.

L’incidente esemplifica come le misure di sicurezza informatica inadeguate negli ambienti operativi rappresentino una minaccia per le risorse strategiche. Mentre le agenzie federali stanno già implementando un’architettura “zero trust” per le infrastrutture IT, un sistema simile per le reti di produzione è ancora in fase di sviluppo. Il Dipartimento della Difesa sta sviluppando un proprio set di controlli per gli ambienti OT, che si prevede saranno integrati con lo standard federale in futuro.

Anche se gli aggressori avessero accesso solo a dati non classificati, tali informazioni sarebbero estremamente preziose. Specifiche tecniche, tolleranze e parametri di assemblaggio possono far luce sulla precisione delle armi statunitensi, sulla struttura delle catene di approvvigionamento o sui metodi di controllo qualità. Ciò consente agli avversari di valutare indirettamente l’affidabilità e le capacità tecnologiche dei programmi di difesa statunitensi.

Il Dipartimento dell’Energia ha successivamente confermato ufficialmente che una vulnerabilità di SharePoint era stata effettivamente sfruttata contro la NNSA, ma che il danno era stato minimo e che non era stata compromessa alcuna informazione classificata. Ciononostante, l’incidente ha evidenziato la vulnerabilità dell’industria della difesa anche agli attacchi che colpiscono solo i sistemi aziendali.

L'articolo I Criminal Hacker violano gli impianti di produzione delle armi nucleari USA proviene da Red Hot Cyber.

Ti diamo il benvenuto in WordPress. Questo è il tuo primo articolo. Modificalo o eliminalo e quindi inizia a scrivere!

alessandrina.cultura.gov.it/20…

Nel 1978 Space Invaders della Taito conquistò il pubblico con un gameplay apparentemente geniale: più alieni venivano abbattuti, più rapidamente si muovevano quelli rimasti. Un crescendo di tensione che ha segnato la storia dei videogiochi arcade.

Ma, come rivelato dall’esperto di programmazione C/C++ Zuhaitz, quel ritmo incalzante non fu frutto di un’intuizione creativa, bensì di un limite tecnico del processore su cui il gioco era basato.

Secondo un’analisi pubblicata il 27 ottobre, il comportamento che rese Space Invaders così iconico è in realtà il risultato di un collo di bottiglia del processore Intel 8080, introdotto nel 1974.

Questo chip, dotato di circa 5.000 transistor e funzionante a una frequenza di 2 MHz, gestiva tutte le operazioni del gioco: dal calcolo delle posizioni al ridisegno sullo schermo, fino al rilevamento delle collisioni tra proiettili e alieni.

All’inizio di ogni partita, la CPU doveva elaborare simultaneamente i movimenti e le azioni di 55 alieni. Il carico di lavoro era quindi elevato e rallentava il rendering dei fotogrammi. Tuttavia, ogni volta che un alieno veniva distrutto, diminuiva la quantità di calcoli richiesti e il processore riusciva a eseguire le istruzioni più rapidamente. Il risultato fu un’accelerazione naturale del gameplay: meno alieni, maggiore velocità di gioco.

Curiosamente, nel codice sorgente originale non è presente alcuna istruzione progettata per aumentare intenzionalmente la velocità del gioco. L’effetto che i giocatori percepivano come un crescendo di difficoltà era dunque una conseguenza non programmata, ma estremamente efficace nel generare tensione e coinvolgimento.

Nelle versioni successive e negli emulatori moderni, i programmatori hanno dovuto introdurre manualmente limiti di velocità per replicare fedelmente la sensazione originale. Con l’hardware attuale, infatti, Space Invaders risulterebbe eccessivamente rapido senza una regolazione artificiale.

Tomohiro Nishikado 西角友宏, autore di Space Invaders, scoprì che il processore del videogioco era in grado di rendere ogni fotogramma della grafica di animazione dell’alieno più veloce quando c’erano meno alieni sullo schermo.

Poiché le posizioni degli alieni venivano aggiornate dopo ogni fotogramma, questo faceva sì che gli alieni si muovessero sullo schermo a una velocità crescente man mano che ne venivano distrutti sempre di più.

Piuttosto che progettare una compensazione per l’aumento di velocità, decise che si trattava di una caratteristica e non di un bug e lo mantenne come un meccanismo di gioco.

L'articolo Il segreto dietro la velocità di Space Invaders? Un limite tecnico dell’hardware proviene da Red Hot Cyber.

I paesi membri del gruppo di monitoraggio internazionale MSMT hanno concluso che la Corea del Nord sta aumentando il suo utilizzo di criminalità informatica e il lavoro remoto svolto dai suoi cittadini all’estero, al fine di aggirare le sanzioni internazionali e sostenere i propri programmi nucleari e missilistici. Un recente rapporto, che copre gli anni da gennaio 2024 a settembre 2025, sottolinea tale strategia.

I redattori del rapporto evidenziano che praticamente tutte le attività illegali sono orchestrate da organizzazioni che sono già state sottoposte a misure punitive. Mediante società di comodo e gruppi IT anonimi, questi soggetti agiscono con l’obiettivo primario di sostenere finanziariamente programmi di armamenti vietati.

Secondo gli autori del documento, gli hacker nordcoreani hanno rubato almeno 2,8 miliardi di dollari in criptovalute durante questo periodo. Quasi la metà di questa cifra è stata imputata a un singolo episodio: l’attacco hacker all’exchange di criptovalute Bybit nel febbraio di quest’anno, che ha portato al furto di circa 1,4 miliardi di dollari.

Pyongyang continua inoltre a inviare all’estero delegazioni di addetti all’informatica che si spacciano per freelance. Si stima che attualmente tra 1.000 e 1.500 di questi specialisti lavorino solo in Cina. Il loro scopo è generare reddito sotto falsi nomi e convogliare i fondi al regime. Questa pratica viola direttamente le risoluzioni del Consiglio di Sicurezza delle Nazioni Unite che vietano agli Stati membri di assumere cittadini nordcoreani e ne impongono il rimpatrio.

Anche in Giappone, India, Emirati Arabi Uniti e Singapore sono state registrate vittime a causa di questo fenomeno. Il riciclaggio delle risorse digitali trafugate è avvenuto attraverso società di cambio ed exchange in diverse nazioni; il provento è stato poi convertito in contanti per comprare materie prime e attrezzature.

La Corea del Nord utilizza attivamente l’infrastruttura finanziaria e delle telecomunicazioni della Cina. Il rapporto cita 15 banche cinesi coinvolte in operazioni di riciclaggio di denaro. Inoltre, il regime si affida a una rete di intermediari in Cina, Vietnam, Laos, Emirati Arabi Uniti e persino Argentina. Questi facilitano transazioni in criptovaluta, acquisti di attrezzature e servizi di lavoro fittizi.

Le raccomandazioni del rapporto invitano gli Stati a rafforzare i controlli sulle transazioni in criptovaluta, a migliorare le procedure di verifica per l’assunzione di lavoratori da remoto, a bloccare gli account dei freelance sospetti e a impedire le transazioni collegate a intermediari nordcoreani. Particolare attenzione è rivolta alla necessità di rimpatriare tutti i cittadini nordcoreani che continuano a lavorare all’estero in violazione delle risoluzioni esistenti.

Secondo le stime, le entrate derivanti dalla criminalità informatica hanno già eclissato i guadagni della Corea del Nord antecedenti l’implementazione delle sanzioni globali nel 2016-2017. La criptovaluta, dopo essere stata riciclata, non solo copre le necessità interne, ma serve anche a sostenere la commercializzazione di armi verso altre nazioni.

L'articolo 2,8 miliardi in criptovaluta rubati! ecco come la Corea del Nord aggira le sanzioni ONU proviene da Red Hot Cyber.

One of the lost pleasures of our modern world is the experience of going shopping at a grocery store, a mall, or a drugstore, and finding this month’s electronics magazine festooned with projects that you might like to build. Sure, you can find anything on the Internet, but there’s something to be said about the element of surprise. Can any of those old projects still be of interest?

[Bettina Neumryr] thinks so. She has a hobby of finding old magazine projects and building them. Her most recent installment is a transistor tester from the June 1983 issue of Everyday Electronics.

The tester was quite a neat job for 1983, with a neat case and a PC board. It measures beta and leakage. There’s an analog meter that can measure the collector current for a fixed base current (beta or hfe). Leakage is how much current flows between emitter and collector with the base turned off.

In 1983, we’d have loved to have a laser printer to do toner transfer for the PC board, but of course, that was unheard of in hobby circles of the day. The tester seemed to work right off the bat, although there was a small adjustment necessary to calibrate the device. All that was left was to put it in a period-appropriate box with some printed labels.

We loved the old electronics and computer magazines. Usually, when we see someone working on an old magazine project, it is probably not quite a literal copy of it. But either way is cool.

youtube.com/embed/R4AF_30SUbA?…

hackaday.com/2025/10/27/magazi…

Gli aggressori utilizzano una tecnica di phishing avanzata, nota come CoPhish, che si avvale di Microsoft Copilot Studio per convincere gli utenti a concedere l’accesso non autorizzato ai propri account Microsoft Entra ID.

Un recente rapporto, descrive l’attacco nei dettagli e sottolinea come malgrado gli sforzi di Microsoft volti a rafforzare le politiche di consenso, permangano evidenti vulnerabilità negli strumenti di intelligenza artificiale offerti in cloud.

L’adozione crescente di strumenti come Copilot da parte delle organizzazioni evidenzia la necessità di un’attenta supervisione delle piattaforme low-code. In questo ambito, funzionalità configurabili dall’utente, progettate per favorire la produttività, possono inavvertitamente agevolare il phishing.
Un aggressore può utilizzare un agente Copilot Studio dannoso per indurre un bersaglio a cadere vittima di un attacco di phishing OAuth. L’aggressore o l’agente può quindi compiere azioni per conto dell’utente (Fonte Datadog Security Labs).
Questo attacco scoperto dai ricercatori di Datadog Security Labs, utilizza agenti di intelligenza artificiale personalizzabili ospitati su domini Microsoft legittimi per mascherare i tradizionali attacchi di consenso OAuth, facendoli apparire affidabili e aggirando i sospetti degli utenti.

Gli aggressori sono in grado di progettare e creare chatbot dall’aspetto innocuo, al fine di ottenere dagli utenti le credenziali di accesso e, successivamente, tokens OAuth utilizzabili per compiere azioni dannose, ad esempio, l’accesso ai calendari o la lettura delle email.

Gli attacchi di consenso OAuth, classificati nella tecnica MITRE ATT&CK T1528, consistono nell’indurre gli utenti ad approvare registrazioni di app dannose che richiedono ampie autorizzazioni per l’accesso a dati sensibili.

Gli attacchi condotti all’interno degli ambienti Entra ID prevedono la creazione di registri di applicazioni da parte degli aggressori al fine di ottenere l’accesso alle risorse messe a disposizione da Microsoft Graph, quali ad esempio la posta elettronica o OneNote. Ciò avviene mediante l’utilizzo di collegamenti di phishing che inducono le vittime a concedere il consenso. Una volta ottenuto l’approvazione, il token che ne deriva conferisce all’aggressore la possibilità di impersonificare l’utente, consentendo così l’estrazione dei dati o ulteriori azioni di compromissione.

Negli anni, Microsoft ha implementato misure di difesa più solide, come ad esempio le limitazioni relative alle applicazioni non verificate. Inoltre, un aggiornamento del luglio 2025 ha stabilito come impostazione predefinita “microsoft-user-default-recommended”, andando così a bloccare automaticamente l’accesso a autorizzazioni considerate ad alto rischio, quali Sites.Read.All e Files.Read.All, qualora non venga concessa l’approvazione da parte dell’amministratore.

Tuttavia, permangono delle lacune: gli utenti senza privilegi possono comunque approvare app interne per autorizzazioni come Mail.ReadWrite o Calendars.ReadWrite, mentre gli amministratori con ruoli come Amministratore applicazioni possono acconsentire a qualsiasi autorizzazione su qualsiasi app.

L'articolo Arriva CoPhish! Microsoft Copilot Studio usato per rubare account proviene da Red Hot Cyber.

La continua generazione di videoclip con attori famosi pubblicati senza il loro consenso sulla piattaforma Sora 2 ha nuovamente attirato l’attenzione sui problemi associati all’utilizzo di reti neurali per creare copie digitali di persone.

Dopo che il servizio di OpenAI ha pubblicato video generati con Bryan Cranston, tra cui un video con Michael Jackson, l’azienda ha annunciato che avrebbe rafforzato i controlli sull’utilizzo delle immagini e delle voci di personaggi famosi.

Lo stesso Cranston, il sindacato degli attori SAG-AFTRA e diverse importanti agenzie (United Talent Agency, Creative Artists Agency e Association of Talent Agents) hanno rilasciato una dichiarazione congiunta. Hanno sottolineato che OpenAI ha riconosciuto la generazione indesiderata e ne ha espresso rammarico. In risposta alle critiche, l’azienda ha ribadito il suo impegno nei confronti del principio di partecipazione volontaria alla creazione di copie digitali: nessun artista o performer dovrebbe apparire in tali video senza previa autorizzazione. Ha inoltre promesso di rispondere tempestivamente ai reclami relativi alle violazioni di questa politica.

Sebbene OpenAI non abbia divulgato i dettagli delle modifiche apportate all’app Sora, l’annuncio in sé ha rappresentato un passo importante nel riconoscimento pubblico del problema.

La piattaforma aveva già scatenato un’ondata di critiche dopo aver pubblicato video con immagini distorte di personaggi famosi. A seguito di questi incidenti, l’azienda ha revocato la sua precedente politica “predefinita” e ha promesso di fornire ai titolari dei diritti d’autore un controllo più granulare sulla generazione di contenuti, più vicino ai principi del consenso volontario per l’uso delle apparenze.

Sebbene Cranston abbia sottolineato la risposta positiva di OpenAI e l’abbia definita un importante esempio di promozione del dialogo, il presidente del SAG-AFTRA, Sean Astin, ha chiesto un intervento legislativo. Ha sottolineato la necessità di uno strumento legale in grado di proteggere i professionisti della creatività dalle copie non autorizzate su larga scala tramite l’intelligenza artificiale. In questo contesto, ha menzionato il disegno di legge NO FAKES (Nurture Originals, Foster Art, and Keep Entertainment Safe Act), attualmente in discussione negli Stati Uniti, che mira a proteggere dalla replica digitale senza il permesso dell’artista originale.

Nel contesto della rapida diffusione dei modelli generativi e della loro integrazione nelle piattaforme mediatiche più diffuse, tali incidenti sollevano un interrogativo urgente: quali sono i limiti di ciò che è accettabile quando le tecnologie sono in grado di ricreare i volti e le voci delle persone con una fedeltà pressoché perfetta?

Mentre le aziende promettono di rafforzare i filtri e migliorare la supervisione, la comunità professionale continua a insistere sulle garanzie istituzionali, anche a livello legislativo.

L'articolo OpenAI rafforza i controlli su Sora 2 dopo critiche per video con attori famosi proviene da Red Hot Cyber.

Nel panorama delle minacce informatiche, pochi malware sono tanto persistenti e diffusi quanto Formbook. Nato come un semplice keylogger e form-grabber, si è evoluto in un potente infostealer venduto secondo il modello Malware-as-a-Service (MaaS), rendendolo accessibile a un’ampia platea di criminali informatici. La sua capacità di esfiltrare credenziali dai browser, client email e altri software lo rende uno strumento prediletto per ottenere un accesso iniziale alle reti aziendali.

In questo articolo, analizzeremo il sample di un dropper multi-stadio progettato per distribuire l’infostealer Formbook, e, a partire dalle evidenze raccolte, illustreremo le contromisure proposte da ELMI per prevenire, rilevare e rispondere a questa tipologia di minacce.

ELMIopera nel settore IT come System Integrator da quarant’anni, offrendo consulenza professionale e supportando aziende private e pubbliche nello sviluppo di progetti innovativi.
Attualmente, l’azienda è fortemente focalizzata sui temi della Digital Transformation, con particolare riferimento alle aree tecnologiche inerenti la Digitalizzazione dei processi, la Cyber Security, l’Asset Management, l’Intelligenza Artificiale generativa e la Blockchain.

Infostealer in azione: analisi tecnica di Formbook

Come osservato in diverse campagne recenti documentate anche dall’Agenzia per la Cybersicurezza Nazionale (ACN), la distribuzione di Formbook avviene principalmente tramite malspam (Malware Spam o Malicious Spam): email malevole confezionate per sembrare legittime (finte fatture, documenti di spedizione, preventivi o comunicazioni aziendali). Il messaggio contiene tipicamente un allegato (archivi compressi .zip/.rar o file Office con macro disabilitate) o un link che, una volta cliccato, porta al download di un file JavaScript offuscato. È proprio questo file, nel campione analizzato, a costituire il dropper iniziale che dà avvio alla catena di infezione.

L’obiettivo della fase iniziale è indurre l’utente a eseguire manualmente l’allegato — affidandosi quindi alla componente di ingegneria sociale più che a vulnerabilità software. Questo approccio, combinato con tecniche di offuscamento del codice e l’uso di servizi cloud legittimi per ospitare i payload successivi, rende la campagna particolarmente insidiosa e difficile da bloccare con i soli controlli perimetrali.

L’analisi è quindi partita da un campione JavaScript, rivelando una catena di infezione complessa che impiega PowerShell come stadio intermedio e culmina con l’esecuzione “fileless” del payload finale. L’attore della minaccia ha implementato molteplici tecniche di offuscamento ed evasione, e ha sfruttato un servizio legittimo (Google Drive) per ospitare il payload, rendendo il rilevamento basato sulla rete più difficile.

Questa analisi documenta in dettaglio ogni fase, mappando le Tattiche, Tecniche e Procedure (TTPs) osservate sul framework MITRE ATT&CK e fornendo gli Indicatori di Compromissione (IoCs) necessari per il rilevamento e la mitigazione.

L’obiettivo non è solo sezionare il malware, ma capire come un singolo file si inserisca nell’enorme ecosistema del cybercrime, alimentando il mercato nero dei dati e come possa impattare significativamente l’operatività e la riservatezza dei sistemi.

Nome File 8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb.js

Tipo File .js

SHA256 8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb

Dimensione 300 KB

Entropia 4976

VT https://www.virustotal.com

Dettaglio PEStudio

Catena d’infezione di Formbook: dal phishing all’esecuzione fileless
L’attacco si sviluppa attraverso una catena di eventi ben definita, progettata per aumentare la furtività e la probabilità di successo dell’infezione.

1. Malspam: mail con link o allegato malevolo.
2. Dropper: Viene eseguito il file .js iniziale. Lo script de-offusca e assembla in memoria un secondo payload, uno script PowerShell.
3. Loader: Lo script JS scrive il payload PowerShell su disco in %APPDATA%Plaidtry.ps1 e tenta di eseguirlo.
4. Evasione: Lo script PowerShell esegue controlli anti-analisi e anti-antivirus. Se l’ambiente è considerato sicuro, procede.
5. Download: Lo script PowerShell contatta un URL su Google Drive per scaricare un terzo payload, un file contenente dati codificati in Base64 (Pidg.chl).
6. Esecuzione Fileless: Il file scaricato viene letto, il suo contenuto Base64 viene decodificato in memoria, rivelando un iniettore di PE (Portable Executable).
7. Iniezione: L’iniettore alloca memoria nel processo powershell.exe stesso, vi scrive il payload finale di Formbook e ne avvia l’esecuzione, il tutto senza che l’eseguibile di Formbook venga mai salvato su disco.

Analisi del dropper Iniziale (File JavaScript)

Il campione iniziale viene veicolato tramite campagne malspam , una delle tecniche di distribuzione più comuni per Formbook, come documentato anche dall’ACN. L’efficacia di questa prima fase non si basa su vulnerabilità software, ma interamente sull’ingegneria sociale, studiata per ingannare e indurre l’utente a compiere un’azione decisiva.

Individuati 23 temi, sfruttati per diffondere campagne malevole in Italia, nella settimana del 20-26 Settembre

L’attore della minaccia confeziona un’e-mail che appare come una comunicazione legittima e urgente, ad esempio una finta fattura, un documento di spedizione o un preventivo. Il corpo del messaggio è solitamente breve e spinge la vittima a scaricare un allegato o visualizzare un documento esterno tramite un link.

Le campagne individuate relative al malware Formbook, distribuiscono quest’ultimo mediante email con allegati compressi come ZIP,TAR,7z.

Una volta scaricato ed estratto l’archivio, ci troviamo davanti ad un file di testo con estensione .js. Analizzando l’hash del file tramite i principali motori di TI notiamo che esso risulta segnalato come Trojan.

Il codice sorgente è fortemente offuscato: dopo un primo passaggio di formattazione la struttura sintattica risulta leggibile, ma le funzioni operative restano deliberatamente nascoste da nomi di variabili non significativi e dalla frammentazione del codice. L’analisi si è pertanto concentrata sull’identificazione di funzionalità che consentono l’interazione con il sistema operativo. La scoperta chiave è stata l’uso intensivo di ActiveXObject per istanziare oggetti COM di sistema:

• WScript.Shell: Per l’esecuzione di comandi.

• Scripting.FileSystemObject: Per la manipolazione di file.

• WbemScripting.SWbemLocator: Per l’interazione con WMI.

La logica principale dello script è un ciclo di assemblaggio: decodifica e concatena centinaia di piccole stringhe per costruire in memoria il payload della fase successiva, uno script PowerShell, che verrà salvato nella cartella %APPDATA% con il nome di “Plaidtry”.

Analisi del loader intermedio (script PowerShell)

Lo script Plaidtry.ps1 è a sua volta offuscato, ma con una logica interna. Contiene una funzione (Kuglepenne) di de-offuscamento che ricostruisce i comandi reali campionando caratteri da stringhe offuscate. Eseguendo questa funzione in un ambiente sicuro (PowerShell ISE), abbiamo potuto decodificare i comandi passo dopo passo.

Esempio de-offuscamento

Il cuore dello script è la logica di download. Imposta uno User-Agent di Firefox per mascherare la richiesta, quindi utilizza il metodo Net.WebClient.DownloadFile per scaricare un payload dall’URL di Google Drive precedentemente decodificato. Il file viene salvato come %APPDATA%Pidg.chl

Script PS de-offuscato

Dettaglio PROCMON

Dettaglio Folder

Il file Pidg.chl non è un eseguibile. È un file di testo contenente un’unica, lunga stringa codificata in Base64. Utilizzando PowerShell per decodificare questa stringa, abbiamo svelato l’ultimo e più pericoloso stadio dell’attacco: un iniettore di PE

Questo script, anch’esso altamente offuscato, è progettato per eseguire un file .exe senza mai scriverlo su disco. Le sue componenti chiave sono:

• PE Incorporato: Una variabile contenente una stringa Base64 di centinaia di kilobyte. Questa è la rappresentazione testuale del file Formbook.exe.
• API di Windows tramite P/Invoke: Lo script definisce un blocco di codice per creare un “ponte” verso le funzioni critiche di kernel32.dll, tra cui VirtualAlloc (per allocare memoria), WriteProcessMemory (per scrivere in memoria) e CreateThread (per eseguire codice in un nuovo thread).

La logica dello script è la seguente: decodifica la grande stringa Base64 per ricostruire in memoria i byte dell’eseguibile di Formbook. Successivamente, alloca una nuova regione di memoria all’interno del processo powershell.exe in cui è in esecuzione, vi copia i byte di Formbook e infine avvia un nuovo thread in quel punto.

Il risultato è che Formbook inizia la sua esecuzione come un thread all’interno di un processo PowerShell legittimo. A questo punto, l’infostealer inizierebbe la sua attività malevola: registrare i tasti premuti, rubare le credenziali salvate nei browser, catturare i dati dai form web e inviarli a un’altra infrastruttura C2 controllata dall’attaccante.

Indicazioni di mitigazione e contenimento contro gli infostealer

Dopo aver ricostruito la catena di infezione e le tecniche utilizzate da Formbook, è possibile delineare le principali azioni di mitigazione e contenimento. Lo scopo è ridurre la superficie d’attacco, bloccare la diffusione e preservare le evidenze per la triage/IR.

Mitigazione

• Isolare l’host sospetto: rimuovere la macchina dalla rete aziendale (network segmentation/isolation) preservando la macchina accesa per acquisizione forense; evitare reboot non pianificati che potrebbero cancellare evidenze volatili.
• Preservare le evidenze: acquisire immagine della memoria e snapshot del filesystem, raccogliere i log di processi, le chiavi di registro e i file sospetti (hash). Archiviare gli artefatti in area sicura con controllo degli accessi.
• Bloccare IoC a livello di rete ed endpoint: importare gli hash, i domini e gli URL conosciuti nei sistemi di prevenzione (SIEM,NGFW,XDR) e applicare regole temporanee per limitare il traffico verso host sospetti.

Eradicazione

• Indagine forense completa: correlare gli eventi (mail, download, esecuzione di script, attività di PowerShell) per stabilire il perimetro di compromissione e individuare eventuali movimenti laterali.
• Rimozione controllata: con piani di ripristino, rimuovere le componenti malevole e ripristinare gli host compromessi da backup affidabili;
• Rotazione credenziali: considerare la rotazione di credenziali e di eventuali segreti potenzialmente esfiltrati.

Prevenzione

• Limitare l’esecuzione di scripting non autorizzato: applicare policy di gruppo (GPO) per disabilitare o restringere l’uso di Windows Script Host (WSH) e l’esecuzione di script in cartelle temporanee dove non necessario.
• PowerShell: impostare policy di esecuzione restrittive, abilitare la protezione di runtime (AMSI/ConstrainedLanguage) e monitorare i moduli e le chiamate sospette.
• Application Execution Control: adottare controlli di application whitelisting (AppLocker/WDAC) per impedire l’esecuzione di binari e script non autorizzati.
• Monitoraggio comportamentale (XDR/EDR): attivare raccolta estesa di telemetria (process creation, parent/child chain, network connections, API di memoria) e regole di alerting su pattern sospetti (es. PowerShell con payload base64 molto lungo, uso di WScript.Shell, download da servizi di file hosting con agent/UA sospetto).
• Segmentazione e least privilege: segmentare reti critiche e applicare principi di least privilege agli account e ai servizi.
• Formazione e awareness: intensificare attività di phishing simulation e formazione degli utenti per ridurre il rischio d’apertura di allegati/JS malevoli.

Comunicazione e disclosure

• Coordinare la notifica: segnalare gli IoC e i dettagli tecnici alle autorità competenti (CSIRT aziendale o nazionale) e, se del caso, ai provider di hosting (es. Google per file Drive abusivi) seguendo le procedure di disclosure responsabile.
• Aggiornamento delle difese: condividere gli IoC con team Threat Intelligence e aggiornare regole SIEM/EDR per permettere threat hunting e prevenzione su larga scala.

Conclusioni sull’analisi di Formbook

L’analisi di questo campione dimostra una chiara tendenza verso catene di infezione complesse e “fileless”. L’attore della minaccia ha investito notevoli sforzi per eludere il rilevamento a ogni livello: l’offuscamento degli script iniziali, l’uso di servizi cloud legittimi per l’hosting dei payload e, infine, l’iniezione in memoria del malware vero e proprio.

Questa metodologia stratificata rappresenta una sfida significativa per le soluzioni di sicurezza tradizionali basate su firme e analisi di file. Sottolinea la necessità di un monitoraggio comportamentale avanzato (XDR) e costante in grado di rilevare attività anomale da parte di processi altrimenti legittimi come PowerShell. L’analisi, infine, ci ha permesso di ricostruire l’intera catena di attacco e di estrarre IoC e TTPs preziosi per rafforzare le posture difensive contro minacce simili.

Mapping MITRE ATT&CK per Formbook

Le TTPs osservate durante l’analisi sono state mappate sul framework MITRE ATT&CK.

Indicatori di Compromissione (IoCs)

• SHA256 (JS):

8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb

• SHA256 (Pidg.chl):

C28CF95D3330128C056E6CA3CA23931DC8BBCB4385A1CE37037AF2E45B1734DC

• SHA256 (Plaidtry.ps1):

14345A45F4D51C63DFCDD1A5DC1EDD42BB169109A8903E33C4657C92AF6DF2830

• URL:

drive.google.com/uc?export=dow…

Fonti:ACN.GOV.IT ,CERT-AGID

Il supporto di ELMI nelle strategie di prevenzione e detection

ELMI propone un percorso integrato di prevenzione, rilevazione e risposta alle minaccestudiato specificamente per contrastare campagne di infostealer basate su phishing e fileless execution. La proposta combina soluzioni integrate, affiancando alla tecnologia un approccio consulenziale e formativo.

Soluzioni integrate per una sicurezza a 360°

Le misure tecniche rappresentano il primo baluardo nella protezione contro infostealer, richiedendo un’architettura di sicurezza multilivello che integra strumenti e processi dedicati. All’interno del suoSecurity Competence Center, ELMI mette a disposizione un set di soluzioni integrate che coprono l’intero ciclo di difesa.

• Servizio SOC H24: Control Room dedicata al monitoraggio, triage e gestione degli eventi di sicurezza H24/7 che possono impattare l’infrastruttura aziendale.
• ExtendedDetection & Response (XDR): soluzione di cybersecurity che integra e correla dati provenienti da endpoint, rete, email, server e cloud per offrire una visione unificata della sicurezza. Consente una rilevazione più rapida delle minacce e una risposta più efficace grazie all’analisi avanzata e all’automazione dei processi.
• Domain Threat Intelligence: servizio avanzato che monitora e analizza i domini aziendali per individuare vulnerabilità, minacce emergenti e account compromessi. Attraverso strumenti di analisi e intelligenza artificiale, supporta la mitigazione dei rischi e la protezione dell’integrità dei domini.
• Early Warning: bollettini informativi su minacce emergenti.
• Vulnerability Assessment & Threat Hunting: individuazione preventiva delle vulnerabilità e ricerca proattiva di minacce avanzate non ancora rilevate dai sistemi automatici.
• Cybersecurity Awareness: attività di formazione dedicate, per mantenere alta la consapevolezza del rischio e rafforzare la resilienza aziendale.

Il Security Competence Center integra, inoltre, servizi di Network Operation Center(NOC), dedicati alla gestione e al monitoraggio continuo della rete, e Managed Services, che consentono la gestione remota dell’infrastruttura IT, permettendo di configurare e controllare a distanza tutti i componenti aziendali.

I punti di forza del Security Competence Center di ELMI risiedono nell’approccio integrato agli incidenti informatici, nella disponibilità operativa H24 su tutto il territorio e nella capacità di offrire servizi personalizzati a 360°, garantendo così una protezione coerente e completa.

L’obiettivo non è solo quello di fornire singoli strumenti, ma costruire insieme al cliente una difesa coordinata, capace di anticipare le minacce, accelerare il rilevamento e garantire una risposta immediata.

Un approccio consulenziale e progressivo alla cybersecurity

A garantire l’efficacia dell’intero processo è la competenza di un team multidisciplinare, composto da figure specializzate come network engineer, system administrator e security analyst, con un solido background operativo e una visione end-to-end dell’infrastruttura IT.

Affrontare efficacemente il rischio cyber richiede un approccio strutturato, personalizzato e progressivo.Il supporto di ELMI si articola in tre momenti chiave:

• Audit preliminare,per fotografare lo stato di sicurezza e individuare le aree più critiche;
• Assessment tecnico e organizzativo, che misura la maturità delle difese esistenti rispetto a standard e framework internazionali;
• Roadmap personalizzata, con un piano d’azione su misura che unisce rafforzamento tecnologico, attivazione dei servizi SOC, formazione e definizione di policy.

Grazie a un approccio consulenziale e operativo integrato, ELMI accompagna i clienti lungo tutto il percorso di rafforzamento della postura di sicurezza, assicurando una progressiva riduzione del rischio e una maggiore resilienza rispetto a minacce complesse e in continua evoluzione.

L'articolo Anatomia di un furto di dati: Analisi tecnica dell’Infostealer “Formbook” proviene da Red Hot Cyber.