Questo articolo mira a esplorare il fenomeno del breadcrumbing da una prospettiva psicologica, collegandolo in modo metaforico alle strategie insidiose che gli attaccanti usano nella cybersecurity.

Scopriremo come la comprensione delle dinamiche relazionali umane può offrirci strumenti preziosi per difenderci nel complesso panorama digitale. Dimenticate l’immagine dell’hacker che sfonda le porte. Il panorama delle minacce informatiche del 2025 è dominato da una strategia ben più insidiosa, mutuata direttamente dalle dinamiche più oscure della psicologia umana: il breadcrumbing.

Immaginatelo come la tecnica di un pescatore esperto: non getta una rete enorme, ma lancia piccole, allettanti esche – briciole di pane – per tenere i pesci nel suo raggio d’azione, incuriositi e speranzosi, senza mai dargli una preda vera e propria. Questa tecnica, che in ambito relazionale consiste nel lasciare “briciole” di attenzione per tenere una vittima legata senza un impegno reale, trova una risonanza spaventosa nel modus operandi delle minacce persistenti avanzate. Descrive una realtà relazionale che ha effetti palpabili sul benessere psicologico individuale. È, in essenza, la manipolazione della speranza.

Un inganno emotivo

Per capire il breadcrumbing, dobbiamo addentrarci nei meandri della nostra psiche. Noi esseri umani siamo cablati per la connessione e per la ricerca di significato. Quando entriamo in relazione con qualcuno, sviluppiamo naturalmente aspettative, desideri e una proiezione verso un futuro condiviso. Questo processo è alimentato dalla speranza, un meccanismo psicologico fondamentale che ci spinge a persistere di fronte alle difficoltà, a investire energie e ad anticipare ricompense.

Nel contesto del breadcrumbing, questa sana speranza viene distorta. La persona che “lancia le briciole” non offre una ricompensa concreta, ma solo la promessa di una potenziale ricompensa futura. Questo attiva un potente meccanismo psicologico noto come rinforzo intermittente, ampiamente studiato in psicologia comportamentale. Immaginate un giocatore d’azzardo: la vincita occasionale e imprevedibile lo tiene attaccato al gioco molto più di una vincita garantita o di una perdita costante. Allo stesso modo, un messaggio casuale dopo giorni di silenzio, o un complimento inaspettato, agisce come una “vincita” emotiva, riaccendendo la speranza e giustificando l’attesa. Questo ciclo crea una vera e propria dipendenza emotiva. La vittima inizia a monitorare ogni segnale, ogni “briciola”, interpretandola come prova che “forse questa volta cambierà”, o “forse è solo impegnato/a”. Si entra in uno stato di ipervigilanza relazionale, un’ansia sottile ma costante, dove l’attenzione è tutta proiettata sull’altro, nella vana attesa di una conferma che non arriva mai pienamente.

Perché succede

Possiamo intravedere diverse dinamiche sottostanti:

• Paura dell’intimità e dell’impegno: per alcuni, l’intimità profonda è terrificante. Il breadcrumbing permette di mantenere una connessione a distanza di sicurezza, evitando la vulnerabilità che deriva da un impegno reale. Ciò può essere legato a stili di attaccamento insicuri (evitante, disorganizzato) sviluppati nell’infanzia, dove l’intimità era associata al dolore o alla perdita.
• Bisogno di attenzione e controllo: dispensare briciole permette di sentirsi desiderati e di avere “opzioni aperte”, alimentando l’ego senza dover dare nulla in cambio. È una forma di controllo sulla disponibilità emotiva dell’altro, un modo per sentirsi potenti.
• Narcisismo e mancanza di empatia: in casi più estremi, il breadcrumbing può essere una manifestazione di tratti narcisistici, dove l’altro è visto come un’estensione per soddisfare i propri bisogni, senza una vera considerazione per i suoi sentimenti.
• Difficoltà a comunicare e stabilire limiti: a volte, è semplicemente la difficoltà a dire “no”, a essere onesti sulle proprie intenzioni, o a gestire il disagio di una chiusura definitiva.

Dal punto di vista della vittima, le vulnerabilità sono altrettanto profonde: una bassa autostima può renderci più propensi ad accontentarci delle briciole; la paura della solitudine può farci aggrappare a qualsiasi barlume di connessione; e schemi relazionali passati (magari con genitori emotivamente non disponibili) possono renderci “programmati” a cercare amore in situazioni che offrono solo frammenti.

Il Breadcrumbing una similitudine con il Digitale

Questo stesso schema di manipolazione della speranza e di rinforzo intermittente si riflette in modo sorprendente nel mondo della cybersecurity. Non è solo una metafora; è una comprensione profonda delle vulnerabilità psicologiche che vengono sfruttate.

Pensate alle minacce persistenti avanzate. Raramente si tratta di un’unica, clamorosa irruzione. Piuttosto, gli attaccanti adottano una strategia di breadcrumbing digitale. Non un’email palesemente truffaldina, ma una ben costruita, con un link o un allegato che sembra quasi legittimo. Questa è la prima “briciola”, progettata per ottenere un piccolo accesso, per seminare un malware latente. I cybercriminali non cercano il “botto”, ma la persistenza. Dopo un primo accesso, l’attaccante non agisce subito. Si muove “lateralmente” nella rete, raccogliendo informazioni con attività a basso impatto, quasi invisibili. Ogni file esaminato, ogni credenziale catturata è una “briciola” di conoscenza, accumulata senza destare sospetti, proprio come il breadcrumber raccoglie informazioni su di te senza un vero impegno. Gli attacchi possono rimanere dormienti per mesi o anni, esfiltrando dati lentamente, seminando malware che si attiva solo in condizioni specifiche. Non c’è una “rottura” o un attacco diretto, ma una disponibilità latente, un po’ come la relazione di breadcrumbing che non finisce mai del tutto, ma non evolve nemmeno.

Le vulnerabilità psicologiche

Il legame tra il breadcrumbing emotivo e quello cibernetico risiede nelle nostre vulnerabilità più profonde:

• La paura di perdere: sia in una relazione che nella sicurezza, tendiamo a sottovalutare i segnali deboli per paura di perdere qualcosa (la relazione, l’accesso, i dati).
• La tendenza a normalizzare: “È solo un ritardo”, “È solo un picco di traffico”. Siamo inclini a normalizzare comportamenti anomali, sia da parte di una persona che da parte di un sistema.
• La difficoltà di riconoscere l’assenza: il breadcrumbing è l’assenza di impegno mascherata da presenza. Nell’IT, l’assenza di un attacco clamoroso può mascherare una violazione continua e silenziosa.

Impatti Psicologici

Vivere in un ciclo di breadcrumbing lascia profonde cicatrici:

• Ansia e stress continui: la costante incertezza genera uno stato di allerta permanente, che può manifestarsi fisicamente e mentalmente.
• Deterioramento dell’autostima: la vittima inizia a chiedersi “Cosa c’è di sbagliato in me?”, “Perché non sono abbastanza?”. La percezione di non meritare un amore pieno e autentico si rafforza.
• Difficoltà a fidarsi: una volta usciti da questa dinamica, la capacità di fidarsi di nuove persone può essere compromessa, rendendo difficile formare relazioni sane.
• Spreco di tempo ed energie: l’investimento prolungato in una relazione senza futuro prosciuga risorse che potrebbero essere impiegate in modo più costruttivo.
• Isolamento: la persona può ritirarsi, concentrando tutta l’energia su questa relazione disfunzionale e trascurando amicizie o altri interessi.

La consapevolezza è la chiave

Se la psicologia del breadcrumbing ci insegna qualcosa, è che la consapevolezza è la nostra arma più potente.

A livello Personale

• Educazione emotiva: comprendere le dinamiche relazionali disfunzionali e i propri schemi di attaccamento.
• Costruzione dell’autostima: una forte autostima è il miglior antidoto contro la necessità di “briciole”.
• Confini solidi: imparare a dire “no”, a chiedere ciò che si merita e a ritirarsi quando i propri bisogni non sono soddisfatti.

A livello di Cybersecurity

• Human Firewall: la formazione e la consapevolezza degli utenti sono cruciali. Insegnare a riconoscere il phishing, le tecniche di social engineering e i tentativi di manipolazione è come addestrare la mente a riconoscere i segnali del breadcrumbing emotivo.
• Monitoraggio comportamentale: non basta rilevare malware noti. Bisogna monitorare le “briciole” di attività anomale, i pattern comportamentali insoliti dei sistemi e degli utenti. Soluzioni di monitoraggio avanzato diventano i nostri “terapeuti” digitali, aiutandoci a identificare schemi disfunzionali prima che diventino crisi.
• Approccio Zero Trust: non fidarsi implicitamente di nulla, nemmeno all’interno della rete. Ogni “briciola” di accesso deve essere verificata e limitata al minimo indispensabile.
• Resilienza e Disaster Recovery: accettare che la compromissione è possibile e quindi occorre avere piani robusti per minimizzare i danni e ripristinare i sistemi. Non vivere nella vana speranza che l’attacco non arriverà mai.

Conclusione

Il cuore umano, nella sua complessità, è un ecosistema di speranze e paure, di connessioni e vulnerabilità. E, sorprendentemente, in questo studio sulle “briciole” dell’anima, abbiamo scoperto che le nostre reti digitali non sono poi così diverse.

Abbiamo esplorato come la psicologia della manipolazione emotiva si traduce in tattiche di cybersecurity, rivelando che il breadcrumbing è molto più di un fenomeno relazionale: è una lezione fondamentale sulla resilienza digitale.

La nostra capacità di difenderci non dipende solo dagli strumenti che impieghiamo, ma dalla prontezza con cui riconosciamo i segnali deboli, quelle anomalie minute, quei sussurri digitali che, accumulati, dipingono il quadro di un’invasione imminente.

È tempo di superare la superficialità e adottare una mentalità di ipersensibilità ai segnali: solo così potremo distinguere le false promesse digitali dalle vere intenzioni, trasformando le nostre vulnerabilità psicologiche in robustezza cibernetica. La guerra cyber non si vince con attacchi clamorosi, ma decifrando ogni singolo, microscopico frammento. Non lasciatevi ingannare dalle briciole; sono solo l’inizio.

E allora vi chiedo, con l’umiltà di chi osserva le fragilità umane e digitali:Siamo davvero i custodi attenti del nostro confine, sia esso emotivo o informatico?

Abbiamo il coraggio di esigere chiarezza e impegno, rifiutandole “briciole” che minacciano la vostra integrità?

E, in un mondo sempre più interconnesso, quanto siamo pronti a riconoscere che la vera forza risiede non solo nel codice più robusto, ma nella consapevolezza più profonda?

L'articolo Breadcrumbing: capire la manipolazione emotiva per difendersi meglio nel dominio digitale proviene da il blog della sicurezza informatica.

Sebbene siano molto diffuse, le estensioni dei browser Web non sono necessariamente sicure. Proprio come qualsiasi altro software che si possa installare sul computer, le estensioni possono contenere codice dannoso progettato per arrecare ingenti danni ai pc dei malcapitati. L’ultima dimostrazione dei potenziali danni delle estensioni arriva sotto forma di un attacco malware proof-of-concept (PoC). I ricercatori di sicurezza hanno sviluppato “Cookie-Bite”, che mostra come le estensioni di Chrome possano dirottare furtivamente i token di sessione.

I threat actor spesso utilizzano gli infostealer per estrarre i token di autenticazione direttamente dal computer della vittima o acquistarli direttamente attraverso i Dark Market, consentendo agli avversari di dirottare le sessioni cloud attive senza attivare l’MFA. Iniettando questi cookie e imitando il sistema operativo, il browser e la rete della vittima, gli aggressori possono eludere le politiche di accesso condizionato (CAP) e mantenere un accesso persistente.

In parole povere, ciò significa che i malintenzionati possono accedere a quasi tutti i siti come impersonando la vittima. Tutto ciò che devono fare è ingannare gli utenti e spingerli ad installare un’estensione del browser apparentemente innocua. Oppure, se hanno ottenuto l’accesso al computer, possono installare l’estensione dannosa senza che gli utenti se ne accorgano. In questo documento verrà rappresentata una PoC di come funziona l’attacco.

Come vengo estratti i cookie dagli infostealer

Il malware Infostealer è emerso come un avversario formidabile, abile nel rubare dati sensibili, compresi i cookie di autenticazione. Questi programmi dannosi si infiltrano nei sistemi per esfiltrare le credenziali di accesso, i cookie di sessione e i token di autenticazione che vengono poi inviati a server remoti controllati dai criminali informatici.

Con i cookie rubati, gli aggressori possono dirottare le sessioni attive degli utenti, impersonare utenti legittimi e aggirare completamente l’MFA. Rubano, rubano la nostra identità. La maggior parte dei pirati informatici non utilizza direttamente i dati rubati. Operano invece nell’ambito di un modello di Malware-as-a-Service (MaaS), in cui diversi attori svolgono ruoli specializzati. Questi ruoli possono includere

Operatori di infostealer che sviluppano e distribuiscono malware per infettare il maggior numero possibile di vittime. Tracer (affiliati) che diffondono il malware attraverso tattiche di phishing, annunci malevoli o crack di software. Mercati darknet che fungono da hub in cui i criminali informatici vendono in massa cookie, credenziali e impronte digitali del browser rubati Gli acquirenti (da broker di accesso iniziale e gruppi di ransomware) acquistano queste credenziali per ottenere un accesso non autorizzato a servizi cloud, VPN aziendali e piattaforme sensibili.

Una volta venduti, i cookie di autenticazione rubati consentono agli aggressori di accedere come la vittima, spesso aggirando l’MFA. Questa tecnica, nota come session hijacking, è ampiamente sfruttata per violazioni aziendali, frodi finanziarie e spionaggio.

Le modalità di furto dei cookie

Nel panorama in evoluzione del dirottamento di sessione, gli aggressori utilizzano diverse tecniche per rubare i cookie di autenticazione, consentendo loro di bypassare l’MFA e di impersonare utenti legittimi.

I principali metodi utilizzati per rubare i cookie di autenticazione

Adversary-in-the-Middle

Gli attacchi di phishing AITM vanno oltre il tradizionale furto di credenziali intercettando i token di autenticazione e i cookie di sessione in tempo reale. Gli aggressori utilizzano strumenti di reverse proxy (ad esempio, Evilginx, Modlishka, Muraena) per interporsi tra la vittima e il servizio di autenticazione legittimo (ad esempio, Microsoft 365, Google).

Quando la vittima effettua l’accesso, il proxy cattura le credenziali, i token MFA e i cookie di sessione, consentendo all’aggressore di bypassare l’MFA e dirottare la sessione senza richiedere nuovamente la password dell’utente. Questa tecnica è ampiamente utilizzata per compromettere gli account cloud e aggirare le moderne difese di autenticazione.

Figura 1 AITM Flow

Dumping della memoria del processo del browser

Gli infiltrati sfruttano il fatto che i browser decifrano i cookie durante le sessioni attive, memorizzandoli per un accesso rapido. Il malware può iniettare codice nei processi del browser in esecuzione (ad esempio, chrome.exe, msedge.exe) per leggere questo spazio di memoria ed estrarre i cookie in chiaro. Questo approccio aggira la necessità di decriptare i cookie dal disco, poiché vi accede dopo la decriptazione durante l’uso attivo.

Estensioni del browser dannose

Le estensioni dannose del browser consentono agli aggressori di accedere direttamente ai cookie di autenticazione e ai token di sessione operando nel contesto di sicurezza del browser. Queste estensioni, spesso camuffate da strumenti legittimi, richiedono autorizzazioni eccessive che consentono loro di interagire con le sessioni Web, modificare il contenuto delle pagine ed estrarre i dati di autenticazione memorizzati. Una volta installate, possono accedere all’API di archiviazione del browser, intercettare le richieste di rete o iniettare JavaScript dannoso nelle sessioni attive per rubare i cookie di sessione in tempo reale.

A differenza del malware tradizionale, non è necessaria l’iniezione di processi o la decrittazione del disco, rendendo questa tecnica più difficile da rilevare a livello di endpoint. I token di autenticazione rubati vengono esfiltrati sul server dell’aggressore, dove possono essere riprodotti per aggirare l’MFA e impersonare la vittima.

Di solito, i browser memorizzano le estensioni nel seguente percorso (Chrome):

Windows: C:\Users\AppData\Local\Google\Chrome\Dati_Utente\Default\Extensions

Linux:

~/.config/google-chrome/Default/Extensions/

MacOS:

~/Libreria/Supporto Applicazioni/Google/Chrome/Default/Estensioni

Le estensioni personalizzate del browser che non sono firmate possono essere caricate in modalità sviluppatore e poi caricate.

Figura 2 Estensione cookie-stealer caricata in Chrome

Decifrare i cookie memorizzati localmente

I browser memorizzano i cookie di autenticazione in database SQLite crittografati per mantenere la persistenza della sessione e proteggere i dati sensibili dell’utente. Tuttavia, gli aggressori possono estrarre e decifrare questi cookie ottenendo sia il database dei cookie memorizzati sia la chiave di crittografia utilizzata per proteggerli.

Il metodo varia a seconda del sistema operativo e del modello di sicurezza del browser: Windows si affida alla crittografia DPAPI, mentre Linux e macOS utilizzano meccanismi di keychain specifici del sistema.

Ad esempio:

I cookie di sessione memorizzati su Mac possono trovarsi in “/Library/Application Support/Google/Chrome/Default/Cookies”, limitati da Transparency, Consent and Control (TCC).

Su Windows, i browser basati su Chromium (Chrome, Edge, Brave, ecc.) memorizzano i cookie di autenticazione in Dati utente/…/Rete/Cookies il database SQLite principale contiene cookie crittografati AESStato locale → Memorizza la chiave di crittografia AES, che è a sua volta crittografata utilizzando WindowsData Protection API (DPAPI)

Poiché DPAPI vincola la crittografia al profilo utente e al computer, gli aggressori non possono decifrare facilmente i cookie al di fuori del sistema della vittima. Per aggirare questo problema, gli infiltrati devono:

Decifrare la chiave AES localmente utilizzando DPAPI (CryptUnprotectData()) all’interno della sessione infetta.

Rubare la chiave master DPAPI (C:\Users\…\AppData\Roaming\Microsoft\Protect) per tentare la decrittazione offline. La chiave master è crittografata con la password dell’utente (utente locale).

la password dell’utente (utente locale o utente AD) oppure

il segreto DPAPI_SYSTEM, nel caso di un sistema integrato.

Figura 3 Decriptare il blob usando DPAPI

Quali sono i cookie più preziosi?

Quando compromettono un dispositivo, gli aggressori danno priorità ai cookie in base al loro potenziale di ulteriore sfruttamento. Il valore dei cookie rubati dipende sia dalle motivazioni degli aggressori sia dalla domanda del mercato. Nella maggior parte dei casi, i cookie più preziosi sono quelli che forniscono un accesso a lungo termine ad account di alto valore o che consentono profonde opportunità di post-sfruttamento.

I cookie di sessione legati agli account dei social media (ad esempio, Facebook, Instagram, Twitter) possono essere redditizi, soprattutto se l’account ha un grande seguito, un’influenza commerciale o l’accesso a conti per la spesa pubblicitaria. Tuttavia, la loro utilità dipende dallo stato dell’account e dal valore di rivendita.

D’altro canto, i cookie delle sessioni cloud aziendali attive, come Microsoft 365, Google Workspace o AWS, sono spesso più interessanti per uno sfruttamento mirato successivo. Una sessione aziendale dirottata può consentire agli aggressori di accedere alle e-mail interne, esfiltrare dati sensibili, aumentare i privilegi o persino spostarsi lateralmente attraverso un’intera rete aziendale, portando potenzialmente a una completa compromissione dell’azienda.

Dirottare l’autenticazione di Azure

Questa ricerca si concentra su ESTSAUTH e ESTSAUTHPERSISTENT, due cookie di autenticazione critici utilizzati da Azure Entra ID (precedentemente AAD). Questi cookie mantengono le sessioni cloud autenticate e consentono l’accesso a Microsoft 365, Azure Portal e altre applicazioni aziendali.

Dirottando questi token di sessione, gli aggressori possono aggirare l’MFA, impersonare gli utenti e spostarsi lateralmente tra gli ambienti cloud, rendendoli uno degli obiettivi più preziosi per i ladri di informazioni e gli attori delle minacce.

Figura 4 Altri fornitori cloud Cookie di autenticazione

Nota: l’articolo si concentra principalmente sui cookie relativi all’autenticazione di Azure, ma le tecniche e gli approcci condivisi possono essere applicati anche ad altre piattaforme e servizi cloud elencati nella tabella precedente. I risultati pratici possono variare a seconda dell’ambiente di destinazione e delle sue difese, poiché ogni servizio ha una propria architettura di cookie, gestione delle sessioni e sicurezza.

Ruolo dei token ESTSAUTH e ESTSAUTHPERSISTENT

Nell’autenticazione web di Azure Entra ID, ESTSAUTH e ESTSAUTHPERSISTENT sono importanti token di sessione memorizzati come cookie del browser che rappresentano la sessione autenticata dell’utente:

ESTSAUTH: è il cookie di sessione principale di Azure Entra ID. “Contiene le informazioni sulla sessione dell’utente per facilitare l’SSO”. Si tratta di un token di sessione transitorio, cioè valido per la durata della sessione del browser. Se l’utente chiude il browser e non ha scelto un login persistente, il cookie ESTSAUTH viene distrutto, richiedendo un nuovo login la volta successiva. Per impostazione predefinita, un cookie ESTSAUTH (sessione non persistente) ha una validità massima di 24 ore, trascorse le quali l’utente dovrà effettuare una nuova autenticazione.

ESTSAUTHPERSISTENT: si tratta di una versione persistente del cookie di sessione Azure Entra ID. Contiene anche informazioni di sessione per l’SSO, ma è memorizzato come cookie persistente che rimane anche dopo la chiusura del browser. Questo cookie viene impostato quando un utente sceglie di “rimanere connesso” o quando viene applicata la funzione “Keep Me Signed In” (KMSI) di Azure Entra ID. Un token di sessione persistente consente all’utente di rimanere connesso anche dopo il riavvio del browser per un periodo prolungato. Per impostazione predefinita, il cookie ESTSAUTHPERSISTENT può rimanere valido per 90 giorni (il periodo di accesso predefinito di Azure Entra ID) o per la durata specificata dal criterio. Ciò significa che se un’utente scegliesse di rimanere connesso, potrebbe non essere richiesto di nuovo di fornire le credenziali o l’MFA per un massimo di 90 giorni su quel dispositivo. Il progetto di Azure Entra ID prevede che non venga richiesta una nuova autenticazione a meno che la sicurezza della sessione non cambi (ad esempio, modifica della password, disconnessione esplicita, modifica dei criteri).

Figura 5 Stay-signed-in

Questi cookie svolgono un ruolo fondamentale nell’equilibrio tra sicurezza e usabilità di Azure Entra ID. Essi contengono una forma di credenziale di sessione che dimostra che l’utente si è recentemente autenticato e, se applicabile, ha soddisfatto i requisiti MFA. Ad esempio, dopo un’autenticazione riuscita, Azure Entra ID può impostare un cookie ESTSAUTHPERSISTENT se l’utente ha fatto clic su “Sì” per rimanere connesso. Nei successivi accessi, la presenza di questo cookie consente ad Azure Entra ID di autenticare istantaneamente l’utente senza un’altra richiesta MFA. In altre parole, il cookie serve a dimostrare che “l’utente ha già eseguito l’MFA su questo browser, quindi non richiede un’altra richiesta” e garantisce l’accesso immediato.

In sintesi, i token ESTSAUTH(PERSISTENT) sono essenzialmente le “chiavi del regno” per quella sessione utente: provano che l’MFA è stato aggirato e consentono l’accesso continuo. Se un utente malintenzionato riesce a ottenere questi token, può impersonare la sessione dell’utente e bypassare l’intero processo di login (compreso l’MFA) perché Azure Entra ID considererà la sua sessione come già autenticata. Le sezioni seguenti analizzano come gli aggressori riescono a ottenere questo risultato e come difendersi da esso.

Figura 6 Cookie salvati in sessione

Questi cookie sono memorizzati localmente nel database SQLite di Chrome, situato all’indirizzo:

%LOCALAPPDATA%\Google\Chrome\Dati dell’utente\Default\Network\Cookies 

Chrome cripta i valori dei cookie utilizzando DPAPI, che lega la crittografia al profilo Windows dell’utente corrente.

Figura 7 Cookie ESTS salvati localmente e valore dei dati binari ESTSAUTH (blob)

Creazione di un cookie stealer personalizzato: In questa proof-of-concept, è stato creato un cookie stealer persistente che estrae i cookie di autenticazione da una sessione attiva del browser e li esfiltra ogni volta che la vittima accede al portale di autenticazione Microsoft. Questo attacco aggira l’MFA sfruttando i cookie di sessione, consentendo l’accesso continuo ai servizi cloud senza richiedere le credenziali dell’utente. Invece di un furto di cookie una tantum, questo metodo garantisce che i cookie di sessione validi vengano estratti ogni volta che l’utente accede, mantenendo l’accesso non autorizzato a lungo termine. Al termine di questa PoC, si avrà:

• Un’estensione Chrome personalizzata che monitora gli eventi di autenticazione e cattura i cookie
• Uno script di PowerShell che automatizza l’implementazione dell’estensione e ne garantisce la persistenza
• Un semplice meccanismo di esfiltrazione per inviare i cookie a un punto di raccolta esterno Un’estensione complementare per iniettare in modo fluido i cookie catturati nel browser dell’attaccante, facilitando un dirottamento di sessione immediato e furtivo

Flow

Il diagramma seguente illustra il flusso end-to-end della Proof of Concept, dimostrando come gli aggressori catturino, esfiltrano e riutilizzino silenziosamente i cookie di autenticazione per dirottare le sessioni cloud delle vittime:

Figura 8 Diagramma della PoC

Fase 1:

Creazione dell’estensione Chrome per l’estrazione dei cookie Innanzitutto, si crea un’estensione Chrome che ascolta gli eventi di autenticazione e ruba i cookie di sessione quando la vittima accede a login.microsoftonline.com.

1. Configurazione della directory dell’estensione

Creazione una nuova directory chiamata CookieStealer Extension. All’interno di questa directory, si creino due file:

• manifest.json (Definisce permessi e comportamenti)
• background.js (Gestisce l’estrazione e l’esfiltrazione dei cookie)

1. Configurazione di manifest.json

Il file manifest definisce il comportamento dell’estensione, i permessi richiesti e gli script in background. Crea manifest.json all’interno della directory dell’estensione:

Figura 9 estensione manifest

Cosa fa:

Concede l’autorizzazione ad accedere a cookie, schede e richieste web. Limita l’esecuzione a login.microsoftonline.com. Carica background.js come servizio in background da eseguire in modo persistente.

1. Scrittura della logica di estrazione dei cookie (background.js)

L’estensione estrae i cookie ogni volta che la vittima accede al portale di autenticazione di Microsoft. Crea background.js e aggiungi quanto segue:

Figura 10 Estensione cookie durante l’accesso

L’estensione ascolta le richieste di autenticazione su login.microsoftonline.com. Quando si verifica un accesso, estrae i cookie (inclusi ESTSAUTH ed ESTSAUTHPERSISTENT). E’ stato scelto di esfiltrare i cookie in modo silenzioso tramite Moduli Google, direttamente sul Drive personale:

Figura 11Cookie Exfiltration attraverso google forms

Con l’estensione pronta, il passo successivo è automatizzarne la distribuzione. Dopo aver compresso l’estensione in un file CRX e averlo caricato su VirusTotal, il risultato mostra che nessun fornitore di sicurezza la rileva attualmente come dannosa.

Faese2: Automazione della distribuzione con PowerShell

Per automatizzare il caricamento dell’estensione, verrà creato uno script di PowerShell che la caricherà nel profilo utente predefinito di Chrome. Ecco una parte del codice che l’ha eseguita:

Questo script di PowerShell carica l’estensione in un processo di Chrome appena avviato. Tuttavia, l’estensione rimane attiva solo per la durata di questa sessione di Chrome. Una volta chiuso Chrome, l’estensione verrà rimossa automaticamente.

Pertanto, è consigliabile pianificare l’esecuzione periodica di questo script (ad esempio, ogni poche ore o quotidianamente, operazione eseguibile tramite un’attività pianificata o una cartella di avvio). Sebbene esistano metodi per caricare le estensioni in modo persistente, come l’utilizzo di policy basate sul registro o l’iniezione dell’estensione direttamente nel file Secure Preferences di Chrome bypassando il Message Authentication Code (MAC), questi approcci sono più complessi e in genere richiedono privilegi amministrativi.

Le aziende potrebbero limitare l’uso degli script di PowerShell. In questi casi, sarà necessario trovare alternative, come Python, VBScript o macro, per ottenere risultati simili.

Fase 3: Iniezione dei cookie

Dopo aver rubato i cookie di sessione, il passaggio successivo consiste nell’iniettarli nel browser dell’attaccante per ottenere l’accesso desiderato. Per raggiungere questo scopo, è stata utilizzata un’estensione di Chrome chiamata Cookie-Editor (ID: hlkenndednhfkekhgcdicdfddnkalmdm), disponibile sul Chrome Web Store.

Figura 12 Editor di cookie legittimo

Per prima cosa, si copino i dati dei cookie restituiti dal modulo Google, che sono già in formato JSON.

Figura 13 Cookie estratti da Google Forms C2

Successivamente verranno importati i dati dei cookie copiati nell’estensione Cookie-Editor.

Infine, si aggiorni la pagina per accedere al portale cloud della vittima di destinazione. E’ stato osservato, nel registro di accesso di Azure, che sono riuscite due autenticazioni con lo stesso ID sessione da posizioni e versioni del browser diverse in un breve lasso di tempo: Il vantaggio di questo approccio è che garantisce una sessione valida all’infrastruttura Azure dell’utente di destinazione. Questa rimane valida indipendentemente dal fatto che la durata della sessione sia scaduta o sia stata revocata, poiché l’estensione persiste e viene attivata ogni volta che viene avviato l’accesso Microsoft.

Conclusioni

Questo PoC dimostra come un aggressore possa creare un ladro di cookie persistente utilizzando solo un’estensione del browser e l’automazione di PowerShell. Sfruttando gli hook degli eventi di autenticazione, l’attacco garantisce che i cookie di sessione validi vengano estratti continuamente, garantendo un accesso non autorizzato a lungo termine.

Questa tecnica non richiede un’infezione da malware, ma un semplice script, rendendola più difficile da rilevare. La persistenza viene ottenuta tramite il browser stesso, evitando modifiche al sistema. Gli aggressori possono aggirare l’MFA rubando i cookie di sessione a ogni tentativo di accesso.

L'articolo “Cookie-Bite”: L’attacco Segreto che Usa le Estensioni per Dirottare le Tue Sessioni Online proviene da il blog della sicurezza informatica.

In questo quarto episodio ci occupiamo dell'organizzazione della giornata utilizzando l'intelligenza artificiale generativa.

zerodays.podbean.com/e/io-e-ch…

When seeing a story from MIT’s Lincoln Labs that promises 3D printing glass, our first reaction was that it might use some rare or novel chemicals, and certainly a super-high-tech printer. Perhaps it was some form of high-temperature laser sintering, unlikely to be within the reach of mere mortals. How wrong we were, because these boffins have developed a way to 3D print a glass-like material using easy-to-source materials and commonly available equipment.

The print medium is sodium silicate solution, commonly known as waterglass, mixed with silica and other inorganic nanoparticles. It’s referred to as an ink, and it appears to be printed using a technique very similar to the FDM printers we all know. The real magic comes in the curing process, though, because instead of being fired in a special furnace, these models are heated to 200 Celsius in an oil bath. They can then be solvent cleaned and are ready for use. The result may not be the fine crystal glass you may be expecting, but we can certainly see plenty of uses for it should it be turned into a commercial product. Certainly more convenient than sintering with a laser cutter.

hackaday.com/2025/06/22/3d-pri…

Hold onto your hats, everyone — there’s stunning news afoot. It’s hard to believe, but it looks like over-reliance on chatbots to do your homework can turn your brain into pudding. At least that seems to be the conclusion of a preprint paper out of the MIT Media Lab, which looked at 54 adults between the ages of 18 and 39, who were tasked with writing a series of essays. They divided participants into three groups — one that used ChatGPT to help write the essays, one that was limited to using only Google search, and one that had to do everything the old-fashioned way. They recorded the brain activity of writers using EEG, in order to get an idea of brain engagement with the task. The brain-only group had the greatest engagement, which stayed consistently high throughout the series, while the ChatGPT group had the least. More alarmingly, the engagement for the chatbot group went down even further with each essay written. The ChatGPT group produced essays that were very similar between writers and were judged “soulless” by two English teachers. Go figure.

The most interesting finding, though, was when 18 participants from the chatbot and brain-only groups were asked to rewrite one of their earlier essays, with the added twist that the chatbot group had to do it all by themselves, while the brainiacs got to use ChatGPT. The EEGs showed that the first group struggled with the task, presumably because they failed to form any deep memory of their previous work thanks to over-reliance on ChatGPT. The brain-only folks, however, did well at the task and showed signs of activity across all EEG bands. That fits well with our experience with chatbots, which we use to help retrieve specific facts and figures while writing articles, especially ones we know we’ve seen during our initial scan of the literature but can’t find later.

Does anyone remember Elektro? We sure do, although not from personal experience, since the seven-foot-tall automaton built by Westinghouse for the World’s Fair in New York City in 1939 significantly predates our appearance on the planet. But still, the golden-skinned robot that made its living by walking around, smoking, and cracking wise at the audience thanks to a 78-rpm record player in its capacious chest, really made an impression, enough that it toured the country for the better part of 30 years and made the unforgettable Sex Kittens Go to College in 1960 before fading into obscurity. At some point, the one-of-a-kind robot was rescued from a scrap heap and restored to its former glory, and now resides in the North Central Ohio Industrial Museum in Mansfield, very close to the Westinghouse facility that built it. If you need an excuse to visit North Central Ohio, you could do worse than a visit to see Elektro.

youtube.com/embed/AuyTRbj8QSA?…

It was with some alarm that we learned this week from Al Williams that mtrek.com 1701 appeared to be down. For those not in the know, mtrek is a Telnet space combat game inspired by the Star Trek franchise, which explains why Al was in such a tizzy about not being able to connect; huge Trek nerd, our Al. Anyway, it appears Al’s worst fears were unfounded, as we were able to connect to mtrek just fine. But in the process of doing so, we stumbled across this collection of Telnet games and demos that’s worth checking out. The mtrek, of course, as well as Telnet versions of chess and backgammon, and an interactive world map that always blows our mind. The site also lists the Telnet GOAT, the Star Wars Asciimation; sadly, that one does seem to be down, at least for us. Sure, you can see it in a web browser, but it’s not the same as watching it in a terminal over Telnet, is it?

And finally, if you’ve got 90 minutes or so to spare, you could do worse than to spend it with our friend Hash as he reverse engineers an automotive ECU. We have to admit that we haven’t indulged yet — it’s on our playlist for this weekend, because we know how to party. But from what Hash tells us, this is the tortured tale of a job that took far, far longer to complete than expected. We have to admit that while we’ll gladly undertake almost any mechanical repair on most vehicles, automotive ECUs and other electronic modules are almost a bridge too far for us, at least in terms of cracking them open to make even simple repairs. Getting access to them for firmware extraction and parameter fiddling sounds like a lot of fun, and we’re looking forward to hearing what Hash has to say about the subject.

youtube.com/embed/0tkdst3JE0g?…

hackaday.com/2025/06/22/hackad…

Dal 7 ottobre 2023, Israele ha coltivato una psiche nazionale in cui la sopravvivenza ebraica sembra dipendere dalla distruzione dell'altro.

Di Hanin Majadli - 20 giugno 2025

Mentre mi riparo da un bombardamento missilistico iraniano in un parcheggio sotterraneo, mi siedo e rifletto su come gli anni della mia vita vengano sprecati nelle guerre di Israele, guerre che non mi riguardano. Mi chiedo se siano proprio le provocazioni di Israele, le sue furie sconsiderate, a causare un giorno la mia fine. Sarebbe una triste ironia.

Dal 7 ottobre 2023, Israele ha abbandonato la dottrina della deterrenza, un tempo nota come "Muro di Ferro", in favore di qualcosa di molto più pericoloso: una mentalità di distruzione e annientamento. Forse quell'impulso è sempre stato lì, sepolto sotto la superficie, ma ora è allo scoperto ed esplicitamente dichiarato. Non si tratta di un semplice cambiamento tattico, ma di una profonda trasformazione della coscienza, della visione del mondo, forse persino di una psiche collettiva ferita e segnata.

Quando Israele ha smesso di parlare di contenimento e deterrenza e ha iniziato a parlare invece di Cancellazione? Quando l'obiettivo ha smesso di essere la sicurezza ed è diventato, invece, l'eliminazione dell'altro, la sua esistenza, le sue istituzioni, persino il suo diritto di esistere come nemico?

Secondo questa logica, qualsiasi cosa disturbi la vista degli israeliani, che si tratti di una stazione televisiva, di un'università, di un quartiere residenziale o di una stazione di servizio, diventa un legittimo bersaglio da distruggere. È così che sono state bombardate le università di Gaza e Teheran, e come sono stati uccisi scienziati, giornalisti, artisti e scrittori. Israele non si limita più a obiettivi militari; distrugge le stesse condizioni che sostengono la vita e la possibilità di ricostruire.

Tutto questo avviene in nome dell'"autodifesa". Ma questa non è più una risposta a una minaccia concreta, bensì un'offensiva guidata da una visione del mondo sfrenata, priva di confini morali, legali o persino pragmatici. Israele cerca di essere l'unica Potenza Dominante in Medio Oriente. E se il Diritto Internazionale avesse ancora un peso reale, beh, Israele lo viola ripetutamente a Gaza, in Libano, in Siria e in Iran. Tanto che, con ogni attacco, sega proprio il ramo su cui poggia l'idea del Diritto Internazionale.

Israele rivendica per sé il diritto di violare, colpire e bombardare, ripetutamente, anche coloro che non rappresentano più una minaccia immediata. La continua distruzione di Gaza non fa che sottolineare questo messaggio. Tutto ciò crea un pericoloso precedente con implicazioni di vasta portata: cosa si sentiranno in diritto di fare le altre nazioni nelle loro guerre? Dov'è il confine tra ciò che è permesso e ciò che non lo è? E cosa succede quando altri stati adottano la stessa logica israeliana nei confronti dei loro nemici? Una catastrofe.

E gli israeliani stessi? Fin dalla sua fondazione, e ancor di più dal 7 ottobre 2023, Israele ha coltivato una psiche nazionale in cui la sopravvivenza ebraica sembra dipendere dalla distruzione dell'altro. Cosa farebbero gli israeliani se altri Paesi si prendessero le stesse libertà che Israele si prende per sé? Il linguaggio, le dichiarazioni, il tono di politici, giornalisti e cittadini rivelano tutti la stessa verità: non c'è cura. Gli israeliani sono ciechi, prigionieri e istigati.

E forse la cosa più spaventosa è che questa logica non sembra più estrema, ma è diventata la norma; che la società israeliana, con le sue istituzioni, i suoi consiglieri, i suoi giornalisti, i suoi genitori e i suoi figli, abbia imparato a pensare in questo modo. Il linguaggio stesso è cambiato, e i bambini israeliani cresceranno immersi in esso, ignari dell'esistenza di un'altra strada. Le regole che Israele sta consolidando attraverso la sua aggressiva condotta militare scuoteranno non solo la Regione, ma il mondo intero per molti anni a venire.

*
Traduzione: La Zona Grigia
facebook.com/share/p/1BrN97r1R…

Fonte: archive.md/CaZA8

Vi sarà sicuramente capitato di comprare qualche piccolo oggetto in un negozio Mediaworld, una scheda SD, una chiavetta USB, ecc.

Avete notato quanta plastica ha intorno? Tra l'altro anche una plastica estremamente resistente e difficile da aprire.

La settimana scorsa la porta USB del mio #Fairphone ha cominciato a dare problemi quindi sono andato sul sito e ne ho comprata una nuova (25 €).

È arrivata qualche giorno fa in una ragionevole confezione in cartoncino certificato FSC (Forest Stewardship Council), con stampa in inchiostro di soia (chissà, magari con un filino di olio sopra è pure saporita 😁) e all'interno di una piccola bustina.

Ma quindi si possono vendere cose anche senza inscatolarle in grossi contenitori di plastica antiproiettile?

Beh... se te ne importa qualcosa dell'ambiente evidentemente sì.

Join us today, Saturday, June 21st, at the Boxborough Fifers Day. It is a wonderful event that celebrates our Revolutionary War history. Tell us if you will help us at the table.

It is at Flerra Meadows, 400 Stow Road, Boxborough. To get there from 495 N or S, take exit 75, then Route 111 South (Massachusetts Avenue eastbound) 1.6 miles to Boxboro. At the small airport sign, turn right (south) for Middle/Stow Rd. Flerra Meadows is ¾ mile on the left.

masspirates.org/blog/2025/06/2…