Most keyboards are factory-set for a specific layout, and most users never change from the standard layout for their home locale. As a multilingual person, [Inkbox] wanted a more flexible keyboard. In particular, one with the ability to change its layout both visually and logically, on the fly. Thus was born the all-screen keyboard, which can swap layouts on demand. Have a look at the video below to see the board in action.

The concept is simple enough: It’s a keyboard with transparent keys and a screen underneath. The screen displays the labels for the keys, while the transparent plastic keys provide the physical haptic interface for the typist. The device uses a Raspberry Pi to drive the screen. [Inkbox] then designed a plastic frame and transparent keys, which are fitted with magnets, which in turn are read by Hall effect sensors under the display. This eliminates the need for traditional key switches, which would block light from the screen below.

Unfortunately for [Inkbox], the prototype was very expensive (about $1,400 USD) and not particularly functional as a keyboard. However, a major redesign tackled some of these issues. Version two had a smaller screen with a different aspect ratio. It also jettisoned the Hall effect sensors and uses plastic keys capacitively operating a traditional touch screen. Some design files for the keyboard are available on Github for the curious.

An all-screen keyboard is very cool, if very complicated to implement. There are other ways to change your layout that aren’t quite as fancy, of course. You can always just make custom keycaps and remap layouts on a regular mechanical keyboard if desired. Still, you have to admire the work that went into making this thing a reality.

youtube.com/embed/NptK0l-rtlQ?…

youtube.com/embed/hqKPu2BEkI0?…

hackaday.com/2025/12/15/all-sc…

Il Deauth attack è uno degli attacchi più noti e storicamente utilizzati contro reti WPA2-Personal, soprattutto come fase preparatoria per altri attacchi.

Sfrutta diverse vulnerabilità intrinseche nel processo d’autenticazione che permettono all’attaccante, tra le altre cose, di estrapolare alcuni dati utilizzabili per il cracking della chiave. È efficace contro la quasi totalità delle reti WPA2 standard IEEE 802.11.

L’efficienza dell’attacco allo scopo di ottenere la chiave di autenticazione è proporzionale alle risorse hardware dell’attaccante ed inversamente proporzionale alla complessità della chiave d’autenticazione.

Può essere lanciato da qualsiasi dispositivo dotato del giusto software e di una scheda di rete compatibile che supporti la monitor mode (una modalità che permette di operare la scheda wireless a più basso livello, avendo così più controllo sull’hardware).

Panoramica

Glossario: AP: Access point (comunemente router Wi-Fi)
Client: Il dispositivo che intende connettersi

Cos’è il Deauth Attack

Il Deauth attack è un attacco informatico il cui scopo principale è quello di forzare la deautenticazione, e quindi la disconnessione, anche temporanea, di uno o più dispositivi Client da una rete Wi-Fi.

Obbiettivi

Gli obbiettivi di questo attacco possono essere di vario genere e natura.
Il più elementare è quello di indurre un disservizio nella rete interrompendo la comunicazione tra questa ed i dispositivi ad essa collegati.
In questo caso l’attacco ricade sotto la categoria dei DoS (Denial of Service).

Un altro caso in cui si vede utilizzato questo attacco è in combinazione con un Evil Twin attack.
Si tratta di un altro attacco informatico ai danni di una rete Wi-Fi e dei dispositivi ad essa connessi che consiste nell’installazione di una rete Wi-Fi apparentemente identica all’originale allo scopo di indurre i dispositivi a connettersi ad essa per perpetrare poi ulteriori attacchi come lo sniffingdel traffico e la manipolazione delle informazioni trasmesse (MITM).

Lo scopo più comune del Deauth attack, tuttavia, è quello di indurre una disconnessione forzata allo scopo di ascoltare e registrare il processo di autenticazione che avviene tra i client e l’access point durante la successiva autenticazione. Questo attacco verrà particolarmente approfondito nell’articolo.

L’autenticazione

Glossario:
AP: Access point (comunemente router Wi-Fi)
Client: Il dispositivo che intende connettersi
Supplicant: Il client, durante l’autenticazione
PSK: Passphrase o password
Pacchetto: dato trasmesso (terzo livello OSI)
Frame: dato trasmesso (secondo livello OSI)
Canale radio: intervallo di frequenze radio definito

Richiesta di autenticazione:

Per comprendere appieno questo attacco, è necessario conoscere il processo di autenticazione delle reti WPA2 personal.

Dopo alcune fasi preliminari non dettagliate in questo articolo (Beacon, Probe request, associazione…) ha inizio il vero e proprio processo di autenticazionecon la richiesta da parte del supplicant verso l’AP tramite l’invio di un frame “Authentication request” (da ora semplicemente “request”). Questo frame viene trasmesso sul canale radio dedicato alla connessione Wi-Fi (2.4GHz / 5Ghz) ed innesca il processo di seguito descritto.

L’handshake

Il cuore dell’autenticazione è senza dubbio la negoziazione che avviene tra il Client e l’AP allo scopo di dimostrare che il Client possiede la chiave d’accesso. Questo dialogo prende il nome di 4 way handshake e può essere così sintetizzato:

MESSAGGIO 1 – ANONCE ED INIZIO DELLA DERIVAZIONE
Il 4-way handshake inizia quando l’Access Point (AP), chiamato Authenticator, invia al client (Supplicant) il primo frame “EAPOL-Key” contenente il proprio dato “ANonce” (Authenticator Nonce), un numero casuale di 256 bit (32 byte) generato sul momento dall’AP. Questo frame contiene anche il Replay Counter (8 byte), numero che serve ad identificare in modo univoco ogni messaggio dell’handshake ed evitare replay (messaggi duplicati).

MESSAGGIO 2 – CALCOLO DELLA PTK ED INVIO DEL SNonCE
Il client genera ora il proprio SNonce (Supplicant Nonce), anch’esso di 256 bit, in modo casuale e non riutilizzabile. Con entrambi i nonce e con le altre informazioni note, il client calcola la PTK (Pairwise Transient Key, una chiave di cifratura temporanea).

La PTK è derivata da una funzione pseudo-casuale definita nello standard IEEE 802.11i, chiamata PRF (Pseudo-Random Function). La formula generale è:
PTK = PRF(PMK, “Pairwise key expansion”, Min(MAC_AP, MAC_STA) ‖ Max(MAC_AP, MAC_STA) ‖ Min(ANonce, SNonce) ‖ Max(ANonce, SNonce))
dove:

• PMK (Pairwise Master Key) è una chiave di 256 bit ottenuta dalla passphrase (in WPA2-Personal) tramite PBKDF2-HMAC-SHA1(Password, SSID, 4096, 256).
• La stringa “Pairwise key expansion” è un’etichetta fissa che serve come diversificatore per la PRF.
• MAC_AP e MAC_STA sono gli indirizzi MAC dell’AP e del client.
• L’uso di Min e Max garantisce che entrambe le parti concatenino i valori nello stesso ordine,

indipendentemente da chi esegue il calcolo. Queste funzioni sono infatti di ordinamento e restituiscono il primo (MIN) e l’ultimo (MAX) indirizzo MAC secondo l’ordine alfabetico.

La PTK è lunga 384 bit (48 byte) che vengono suddivisi in tre sottochiavi:

• KCK (Key Confirmation Key, 128 bit) → per il calcolo del MIC.
• KEK (Key Encryption Key, 128 bit) → per cifrare le chiavi nel messaggio 3.
• TK (Temporal Key, 128 bit) → per cifrare il traffico unicast successivo.

Il client calcola poi un MIC (Message Integrity Code) sul messaggio “EAPOL-Key” usando la KCK secondoMIC=HMAC-SHA1(KCK, EAPOL-Frame) ed invia il secondo frame all’AP. In questo messaggio sono inclusi: SNonce, Replay Counter aggiornato ed il MIC. La presenza del MIC dimostra all’AP che il client possiede la PMK valida, poiché senza di essa il calcolo della PTK e di conseguenza del MIC non sarebbe possibile.

MESSAGGIO 3 – VERIFICA E DISTRIBUZIONE DELLA GTK
L’AP, ricevendo il messaggio 2, possiede tutto il necessario per calcolare la PTK in modo identico al client (ha PMK, ANonce, SNonce, MAC_AP e MAC_STA). Verifica quindi il MIC ricevuto: se è corretto, l’AP sa che il client possiede la PMK e valida l’autenticazione.

A questo punto, l’AP installa localmente la PTK e genera o seleziona la GTK (Group Temporal Key, generata dall’AP come numero di 128bit pseudocasuale), usata per il traffico multicast e broadcast. La GTK viene cifrata con la KEK (parte della PTK) per impedirne la lettura da parte di terzi.

Il messaggio 3, inviato dall’AP al client, contiene quindi:

• Il Replay Counter aggiornato.
• Il campo “Key Information” con flag impostati per indicare che la GTK è inclusa.
• Il campo “Key Data”, dove la GTK è cifrata con KEK.
• Un nuovo MIC, calcolato con la KCK.

Questo messaggio serve sia a consegnare la GTK, sia a confermare la validità della PTK calcolata da entrambe le parti.

MESSAGGIO 4 – CONFERMA FINALE DEL CLIENT
Il client, ricevuto il messaggio 3, decifra il campo Key Data usando la KEK e ottiene la GTK. Dopo aver verificato il MIC, installa la PTK e la GTK nella propria interfaccia radio per abilitare la cifratura del traffico (ad esempio con AES-CCMP).
Infine invia il quarto messaggio, che contiene solo un MIC calcolato con la KCK ed il Replay Counter incrementato, come conferma della corretta ricezione e installazione delle chiavi.
A questo punto, sia AP che STA condividono la stessa PTK (per il traffico unicast) e la stessa GTK (per il traffico multicast). Il 4-way handshake termina e la connessione cifrata WPA2 è pronta a trasmettere dati in modo sicuro.

La deautenticazione

Glossario: Checksum: codice, calcolato sulla base del contenuto del dato trasmesso, utile per rilevare interferenze nella trasmissione

Il primo passo del Deauth attack (dopo alcune operazioni preliminari atte ad individuare la rete target) è la deautenticazione forzata di uno o più client dalla rete. Questo può essere fatto tramite l’invio di un frame deauth. Questo frame è legittimamente utilizzato per “espellere” un dispositivo dalla rete in caso di necessità costringendolo ad autenticarsi nuovamente, ad esempio in seguito ad una nuova generazione delle chiavi, in caso di inattività prolungata, o per rispettare una policy interna.

Il Deauth frame

I Deauth frames, appartenenti ai Management Frames, non sono in alcun modo cifrati nelle reti WPA2 perché non considerati possibile vettore d’attacco al tempo della definizione dello standard 802.11 (che definisce la maggioranza delle reti WPA2 oggi attive), e per questo la loro falsificazione è molto semplice. Ad oggi esiste uno standard che mitiga questa vulnerabilità (802.11w), ma tuttora quasi inutilizzato.

Il Deauth frame è composto da:

Un header contenente:

• Un dato “frame control” di 2 bytes che identifica il tipo (in questo caso, management frame) ed il sottotipo (in questo caso, deauthentication) del frame
• Un dato “duration” di due bytes che indica il tempo per il quale il canale sarà occupato
• Un dato “destination address” di 6 bytes che indica l’indirizzo MAC del destinatario a cui è rivolto il frame
• Un dato “source address” di 6 bytes che indica l’indirizzo MAC del mittente (facilmente falsificabile)
• Un dato “BSSID” che indica il nome della rete a cui il frame si riferisce
• Un dato “sequence control” utile per il controllo dell’ordine dei pacchetti ricevuti

E da un body (corpo del messaggio) contenente:

• Un dato “reason code” di 2 bytes che indica il motivo della deautenticazione (non importante ai fini dell’attacco)
• Un dato “frame check sequence” di 4 bytes che contiene un checksum del frame

L’invio del frame

L’attacco ha inizio con l’invio, spesso in broadcast, di uno o più deauth frames.
Il frame viene quasi sempre inviato falsificando l’indirizzo MAC dell’AP, salvo in caso di alcune configurazioni estremamente rare, probabilmente non più esistenti, non coperte da questo articolo.

I client autenticati e connessi accettano il frame e si deautenticano.

La cattura dell’handshake

Dopo un certo tempo dalla deautenticazione (tipicamente alcuni secondi), i client tentano automaticamente di riautenticarsi (salvo diversa impostazione manuale da parte dell’utente, rara negli smartphone e nei dispositivi IoT).
A questo punto, l’attaccante può ascoltare i canali radio e registrare la negoziazione che avviene tra i client (in questo momento “supplicant”) e L’AP.

Il cracking della passphrase

Purtroppo per l’attaccante, i dati trasmessi che hanno a che fare con la chiave (password o passphrase) sono frutto di algoritmi non reversibili. Questo significa che non è possibile ottenere la PSK invertendo l’operazione partendo da un risultato.

È possibile tuttavia procedere per tentativi, introducendo il concetto di bruteforcing.

Il bruteforcing

Conosciuto anche come attacco bruteforce, a volte erroneamente tradotto in attacco di forza bruta, è uno dei più elementari attacchi informatici. Può essere perpetrato contro ogni dato la cui cifratura si basa sull’utilizzo di un secret (un dato che funge da chiave per la decrittazione, come un PIN, una password, un token…).

Consiste nel compiere numerosi tentativi in rapida sequenza allo scopo di indovinare il secret richiesto. Nella forma più elementare, il secret viene generato da un algoritmo pseudocasuale.
In altre forme più sofisticate, il secret può essere estratto da una lista di probabili candidati detta wordlist. In quest’ultimo caso, l’attacco prende il nome di “attacco dizionario”.

Esistono ulteriori forme di attacco bruteforce.
È importante dire che, senza limiti di tempo e/o di risorse, il brute force attack ha il 100% di probabilità di crackare il secret.

La ricostruzione della chiave

L’attacco bruteforce viene in questo caso utilizzato per crackare la PSK. Lo si fa ricostruendo l’handshake registrato, simulandolo localmente tante volte in rapida sequenza, ogni volta utilizzando una nuova chiave candidata, che può essere generata casualmente o letta da una wordlist.

Per ogni chiave candidata viene quindi calcolata la PMK, dunque la PTK ed il MIC, il quale viene confrontato con quello registrato durante la cattura dell’handshake autentico.

Nel caso in cui uno dei tentativi porti ad una corrispondenza dei due MIC, la chiave candidata viene considerata vincitrice.

Post exploitation

Glossario: Backdoor: punto di accesso persistente installato da un attaccante allo scopo di collegarsi al sistema violato con maggiore semplicità

In seguito ad un attacco deauth andato a segno, l’attaccante può utilizzare l’accesso alla rete per i propri scopi.

È tipico bersagliare infrastrutture interne come server locali, computer, dispositivi di rete.
Essendo la rete wireless locale di difficile accesso, poiché richiede vicinanza fisica tra l’interfaccia radio dell’attaccante e l’AP, solitamente si utilizza per accedere più facilmente ad altri dispositivi sui quali installare una backdoor attraverso la quale accedere tramite Internet o altra rete di più semplice utilizzo.

Strumenti

Esistono numerosi strumenti utili all’esecuzione del Deauth attack.

Tra i più conosciuti e storici troviamo Aircrack-ng (contenente Airmon-ng ed Aireplay-ng) ed MDK4 per la deautenticazione, mentre Hashcat e John the ripper per il cracking.

Alternative più complete e moderne come Airgeddon automatizzano il processo ed includono tutti i software menzionati.

L'articolo Deauth attack: l’arma più comune contro le reti Wi-Fi domestiche proviene da Red Hot Cyber.

I servizi di Windows dedicati alle connessioni remote hanno da sempre rappresentato una fonte inesauribile di “soddisfazioni” per chi si occupa di sicurezza informatica, rivelando vulnerabilità di enorme impatto. Tra gli esempi più noti c’è EternalBlue, scoperto e tenuto segreto per cinque anni dall’NSA, prima di essere rubato dal gruppo Shadow Brokers e utilizzato per l’epidemia globale di WannaCry nel 2017, che ha infettato milioni di computer e causato danni ingenti a enti pubblici e aziende private.

Un altro caso emblematico è stato BlueKeep, una vulnerabilità presente nel servizio RDP di Windows che permetteva l’esecuzione remota di codice senza autenticazione su sistemi non aggiornati. Questi episodi dimostrano quanto i servizi di gestione delle connessioni remote possano diventare rapidamente un terreno fertile per exploit critici, evidenziando il ruolo strategico di questi componenti nella sicurezza complessiva dei sistemi Windows.

Esiste una falla di sicurezza estremamente grave nel servizio Windows Remote Access Connection Manager (RasMan) che permette a malintenzionati con accesso locale di attivare codice a loro scelta con diritti di amministratore di sistema.

Nel corso dell’esame della vulnerabilità CVE-2025-59230, che Microsoft ha trattato negli aggiornamenti di sicurezza dell’ottobre 2025, gli specialisti di sicurezza di 0patch hanno individuato una serie complessa di exploit, i quali si appoggiano a una falla zero-day secondaria e finora ignota per operare in maniera efficiente.

La vulnerabilità principale, CVE-2025-59230, riguarda il modo in cui il servizio RasMan gestisce gli endpoint RPC. All’avvio, il servizio registra un endpoint specifico di cui altri servizi privilegiati si fidano. I ricercatori di 0patch hanno scoperto che se RasMan non è in esecuzione, un aggressore può registrare prima questo endpoint. Una volta che i servizi privilegiati tentano di connettersi, comunicano inconsapevolmente con il processo dell’aggressore, consentendo l’esecuzione di comandi dannosi.

Tuttavia, sfruttare questa condizione di competizione è difficile perché RasMan in genere si avvia automaticamente all’avvio del sistema, non lasciando agli aggressori alcuna finestra di opportunità per registrare prima l’endpoint. Per aggirare questa limitazione, l’exploit scoperto sfrutta una seconda vulnerabilità non ancora patchata. Questa falla zero-day consente a un utente non privilegiato di bloccare intenzionalmente il servizio RasMan.

L’arresto anomalo è causato da un errore logico nel codice relativo a una lista concatenata circolare. Il servizio tenta di attraversare la lista ma non riesce a gestire correttamente i puntatori NULL, causando una violazione dell’accesso alla memoria .

Arrestando il servizio, gli aggressori possono forzarne l’arresto, rilasciare l’endpoint RPC e successivamente attivare la catena di exploit CVE-2025-59230 per ottenere l’accesso al sistema. Microsoft ha rilasciato patch ufficiali per la falla di elevazione dei privilegi (CVE-2025-59230). Tuttavia, la vulnerabilità di crash del servizio utilizzata per facilitare l’attacco non era stata ancora corretta nei canali ufficiali al momento della scoperta.

0patch ha rilasciato delle micropatch per risolvere questo problema di crash sulle piattaforme supportate, tra cui Windows 11 e Server 2025. Si consiglia agli amministratori di applicare immediatamente gli aggiornamenti di Windows di ottobre 2025 per mitigare il rischio di escalation dei privilegi principali.

L'articolo Dalle VPN ai desktop remoti: i bug Windows che non smettono mai di sorprendere proviene da Red Hot Cyber.

qui: noblogo.org/differx/il-funzion…

il funzionamento delle *erde colonialiste e genocide:

#sionismo #israhell #genocidio #razzismo

In August 2025, we discovered a campaign targeting individuals in Turkey with a new Android banking Trojan we dubbed “Frogblight”. Initially, the malware was disguised as an app for accessing court case files via an official government webpage. Later, more universal disguises appeared, such as the Chrome browser.

Frogblight can use official government websites as an intermediary step to steal banking credentials. Moreover, it has spyware functionality, such as capabilities to collect SMS messages, a list of installed apps on the device and device filesystem information. It can also send arbitrary SMS messages.

Another interesting characteristic of Frogblight is that we’ve seen it updated with new features throughout September. This may indicate that a feature-rich malware app for Android is being developed, which might be distributed under the MaaS model.

This threat is detected by Kaspersky products as HEUR:Trojan-Banker.AndroidOS.Frogblight.*, HEUR:Trojan-Banker.AndroidOS.Agent.eq, HEUR:Trojan-Banker.AndroidOS.Agent.ep, HEUR:Trojan-Spy.AndroidOS.SmsThief.de.

Technical details

Background

While performing an analysis of mobile malware we receive from various sources, we discovered several samples belonging to a new malware family. Although these samples appeared to be still under development, they already contained a lot of functionality that allowed this family to be classified as a banking Trojan. As new versions of this malware continued to appear, we began monitoring its development. Moreover, we managed to discover its control panel and based on the “fr0g” name shown there, we dubbed this family “Frogblight”.

Initial infection

We believe that smishing is one of the distribution vectors for Frogblight, and that the users had to install the malware themselves. On the internet, we found complaints from Turkish users about phishing SMS messages convincing users that they were involved in a court case and containing links to download malware. versions of Frogblight, including the very first ones, were disguised as an app for accessing court case files via an official government webpage and were named the same as the files for downloading from the links mentioned above.

While looking for online mentions of the names used by the malware, we discovered one of the phishing websites distributing Frogblight, which disguises itself as a website for viewing a court file.

The phishing website distributing Frogblight

We were able to open the admin panel of this website, where it was possible to view statistics on Frogblight malware downloads. However, the counter had not been fully implemented and the threat actor could only view the statistics for their own downloads.

The admin panel interface of the website from which Frogblight is downloaded

Additionally, we found the source code of this phishing website available in a public GitHub repository. Judging by its description, it is adapted for fast deployment to Vercel, a platform for hosting web apps.

The GitHub repository with the phishing website source code

App features

As already mentioned, Frogblight was initially disguised as an app for accessing court case files via an official government webpage. Let’s look at one of the samples using this disguise (9dac23203c12abd60d03e3d26d372253). For analysis, we selected an early sample, but not the first one discovered, in order to demonstrate more complete Frogblight functionality.

After starting, the app prompts the victim to grant permissions to send and read SMS messages, and to read from and write to the device’s storage, allegedly needed to show a court file related to the user.

The full list of declared permissions in the app manifest file is shown below:

• MANAGE_EXTERNAL_STORAGE
• READ_EXTERNAL_STORAGE
• WRITE_EXTERNAL_STORAGE
• READ_SMS
• RECEIVE_SMS
• SEND_SMS
• WRITE_SMS
• RECEIVE_BOOT_COMPLETED
• INTERNET
• QUERY_ALL_PACKAGES
• BIND_ACCESSIBILITY_SERVICE
• DISABLE_KEYGUARD
• FOREGROUND_SERVICE
• FOREGROUND_SERVICE_DATA_SYNC
• POST_NOTIFICATIONS
• QUICKBOOT_POWERON
• RECEIVE_MMS
• RECEIVE_WAP_PUSH
• REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• SCHEDULE_EXACT_ALARM
• USE_EXACT_ALARM
• VIBRATE
• WAKE_LOCK
• ACCESS_NETWORK_STATE
• READ_PHONE_STATE

After all required permissions are granted, the malware opens the official government webpage for accessing court case files in WebView, prompting the victim to sign in. There are different sign-in options, one of them via online banking. If the user chooses this method, they are prompted to click on a bank whose online banking app they use and fill out the sign-in form on the bank’s official website. This is what Frogblight is after, so it waits two seconds, then opens the online banking sign-in method regardless of the user’s choice. For each webpage that has finished loading in WebView, Frogblight injects JavaScript code allowing it to capture user input and send it to the C2 via a REST API.

The malware also changes its label to “Davalarım” if the Android version is newer than 12; otherwise it hides the icon.

The app icon before (left) and after launching (right)
In the sample we review in this section, Frogblight uses a REST API for C2 communication, implemented using the Retrofit library. The malicious app pings the C2 server every two seconds in foreground, and if no error is returned, it calls the REST API client methods fetchOutbox and getFileCommands. Other methods are called when specific events occur, for example, after the device screen is turned on, the com.capcuttup.refresh.PersistentService foreground service is launched, or an SMS is received. The full list of all REST API client methods with parameters and descriptions is shown below.

Remote device control, persistence, and protection against deletion

The app includes several classes to provide the threat actor with remote access to the infected device, gain persistence, and protect the malicious app from being deleted.

• capcuttup.refresh.AccessibilityAutoClickService
  This is intended to prevent removal of the app and to open websites specified by the threat actor in WebView upon target apps startup. It is present in the sample we review, but is no longer in use and deleted in further versions.
• capcuttup.refresh.PersistentService
  This is a service whose main purpose is to interact with the C2 and to make malicious tasks persistent.
• capcuttup.refresh.BootReceiver
  This is a broadcast receiver responsible for setting up the persistence mechanisms, such as job scheduling and setting alarms, after device boot completion.

Further development

In later versions, new functionality was added, and some of the more recent Frogblight variants disguised themselves as the Chrome browser. Let’s look at one of the fake Chrome samples (d7d15e02a9cd94c8ab00c043aef55aff).

In this sample, new REST API client methods have been added for interacting with the C2.

Also, the threat actor had implemented a custom input method for recording keystrokes to a file using the com.puzzlesnap.quickgame.CustomKeyboardService service.

Another Frogblight sample we observed trying to avoid emulators and using geofencing techniques is 115fbdc312edd4696d6330a62c181f35. In this sample, Frogblight checks the environment (for example, device model) and shuts down if it detects an emulator or if the device is located in the United States.

Part of the code responsible for avoiding Frogblight running in an undesirable environment

Later on, the threat actor decided to start using a web socket instead of the REST API. Let’s see an example of this in one of the recent samples (08a3b1fb2d1abbdbdd60feb8411a12c7). This sample is disguised as an app for receiving social support via an official government webpage. The feature set of this sample is very similar to the previous ones, with several new capabilities added. Commands are transmitted over a web socket using the JSON format. A command template is shown below:
{
"id": <command ID>,
"command_type": <command name>
"command_data": <command data>
}
It is also worth noting that some commands in this version share the same meaning but have different structures, and the functionality of certain commands has not been fully implemented yet. This indicates that Frogblight was under active development at the time of our research, and since no its activity was noticed after September, it is possible that the malware is being finalized to a fully operational state before continuing to infect users’ devices. A full list of commands with their parameters and description is shown below:

Authentication via WebSocket takes place using a special key.

The part of the code responsible for the WebSocket authentication logic

At the IP address to which the WebSocket connection was made, the Frogblight web panel was accessible, which accepted the authentication key mentioned above. Since only samples using the same key as the webpanel login are controllable through it, we suggest that Frogblight might be distributed under the MaaS model.

The interface of the sign-in screen for the Frogblight web panel

Judging by the menu options, the threat actor can sort victims’ devices by certain parameters, such as the presence of banking apps on the device, and send bulk SMS messages and perform other mass actions.

Victims

Since some versions of Frogblight opened the Turkish government webpage to collect user-entered data on Turkish banks’ websites, we assume with high confidence that it is aimed mainly at users from Turkey. Also, based on our telemetry, the majority of users attacked by Frogblight are located in that country.

Attribution

Even though it is not possible to provide an attribution to any known threat actor based on the information available, during our analysis of the Frogblight Android malware and the search for online mentions of the names it uses, we discovered a GitHub profile containing repos with Frogblight, which had also created repos with Coper malware, distributed under the MaaS model. It is possible that this profile belongs to the attackers distributing Coper who have also started distributing Frogblight.

GitHub repositories containing Frogblight and Coper malware

Also, since the comments in the Frogblight code are written in Turkish, we believe that its developers speak this language.

Conclusions

The new Android malware we dubbed “Frogblight” appeared recently and targets mainly users from Turkey. This is an advanced banking Trojan aimed at stealing money. It has already infected real users’ devices, and it doesn’t stop there, adding more and more new features in the new versions that appear. It can be made more dangerous by the fact that it may be used by attackers who already have experience distributing malware. We will continue to monitor its development.

Indicators of Compromise

More indicators of compromise, as well as any updates to these, are available to the customers of our crimeware reporting service. If you are interested, please contact crimewareintel@kaspersky.com.

APK file hashes
8483037dcbf14ad8197e7b23b04aea34
105fa36e6f97977587a8298abc31282a
e1cd59ae3995309627b6ab3ae8071e80
115fbdc312edd4696d6330a62c181f35
08a3b1fb2d1abbdbdd60feb8411a12c7
d7d15e02a9cd94c8ab00c043aef55aff
9dac23203c12abd60d03e3d26d372253

C2 domains
1249124fr1241og5121.sa[.]com
froglive[.]net

C2 IPs
45.138.16.208[:]8080

URL of GitHub repository with Frogblight phishing website source code
https://github[.]com/eraykarakaya0020/e-ifade-vercel

URL of GitHub account containing APK files of Frogblight and Coper
https://github[.]com/Chromeapk

Distribution URLs
https://farketmez37[.]cfd/e-ifade.apk
https://farketmez36[.]sbs/e-ifade.apk
https://e-ifade-app-5gheb8jc.devinapps[.]com/e-ifade.apk

securelist.com/frogblight-bank…

La scena è sempre quella: monitor accesi, dashboard piene di alert, log che scorrono troppo in fretta, un cliente in ansia dall’altra parte della call. Ti siedi, ti guardi intorno e ti rendi conto che, ancora una volta, sei l’unica donna nella stanza. Quando dico che lavoro come Cyber Threat Intelligence Analyst, la reazione è spesso un misto tra stupore e curiosità:

“Ma quindi è come essere un hacker?”, “Non è un lavoro un po’ troppo tecnico?”, “Non è spaventoso questo mondo?”.

Siamo nel 2025 e certe domande fanno quasi sorridere, ma raccontano bene la realtà: la cybersecurity è ancora percepita come un territorio maschile, dove le donne vengono viste come eccezioni statistiche, anomalie. E i numeri, purtroppo, non smentiscono del tutto questa sensazione.

A livello globale, le donne rappresentano ancora una netta minoranza nella forza lavoro della cybersecurity e non sono rari i team in cui non è presente nemmeno una professionista. Proprio per colmare questo divario, Red Hot Cyber ha dato vita a RHC Cyber Angels, un gruppo interamente al femminile nato con l’obiettivo di rafforzare le connessioni tra le donne nel settore cyber e promuovere una cultura più inclusiva.

Il caso Italia: Terreno fragile ma fertile

Nel 2025, il settore della cybersecurity è in crescita ma sotto pressione a causa dell’aumento degli attacchi e dell’allargamento della superficie d’attacco. Nonostante la crescita del numero di professionisti, la domanda supera l’offerta, con un deficit di quasi cinque milioni di ruoli. La presenza femminile nel settore è ancora minoritaria, con un divario retributivo rispetto agli uomini. Non è solo una questione di numeri: è una questione di opportunità mancate e di inefficienza strutturale. Si sta combattendo una guerra digitale usando metà dell’esercito disponibile.

L’Italia, storicamente indietro per la presenza femminile nel digitale, mostra un dato sorprendente: è tra i Paesi con la più alta percentuale di donne nella cybersecurity, quasi un terzo dei professionisti del settore, un aumento significativo rispetto al passato.

Cosa significa?

Significa che l’Italia sta recuperando terreno, forse proprio perché partiva da lontano. Le donne che sono riuscite a entrare in questo mondo hanno spesso dovuto costruirsi il percorso passo dopo passo navigando controcorrente, inventandosi strade alternative. Non è stato un cambiamento spontaneo: è stato spinto da scelte individuali coraggiose e da alcune iniziative collettive.

Allo stesso tempo, se allarghiamo lo sguardo all’intero digitale, il quadro resta fragile. In Italia meno della metà delle persone tra i 16 e i 74 anni ha competenze digitali almeno di base, e siamo sotto la media europea. Questo significa che il bacino di potenziali talenti è già ristretto in partenza, e dentro a questo bacino le donne sono quelle che più frequentemente vengono orientate verso altri percorsi, spesso lontani dall’IT e dalla sicurezza.

In pratica: da un lato emergono segnali positivi, dall’altro restano barriere culturali, scolastiche e sociali che pesano in modo particolare sulle ragazze.

Il lato invisibile del Gender Gap

Quando si parla di discriminazione di genere, si tende a pensare agli episodi estremi: commenti apertamente misogini, esclusioni deliberate, casi di molestie. Esistono, purtroppo, anche nel nostro settore, ma non sono l’unica forma di disparità. Quello che logora, spesso, sono le silenziose ferite quotidiane.

La prima è lo stereotipo: se si è una donna in un contesto tecnico, bisogna costantemente dimostrare qualcosa. L’obiettivo marcato da un giudizio implicito è: controllare se la competenza è reale. Un collega uomo, con lo stesso livello di esperienza, si prende molto più spesso un beneficio del dubbio: se sbaglia, “capita”. Se sbaglia la collega donna, diventa una conferma del pregiudizio.

La seconda è la sottovalutazione wordless: viene presentata un’analisi dettagliata su un incidente, con collegamenti di IoCs, tecniche di attacco, impatti di business, raccomandazioni. Nessuno obietta. Poi, più tardi, un collega ripete un concetto che era stato già detto precedentemente, con parole leggermente diverse, e all’improvviso quella stessa cosa viene percepita come brillante. Non succede sempre, ma abbastanza spesso da non poter parlare solo di coincidenze.

La terza è la messa in discussione del proprio merito. Quando una donna viene invitata come speaker a un convegno, quando le viene proposto un ruolo visibile o una promozione, si chiede se sia stata scelta per le proprie competenze o perché cercavano una donna da mettere in foto per dimostrare inclusività. Il confine tra valorizzazione reale e tokenismo è sottile. E a volte è la donna a interiorizzare questo dubbio, anche quando non ha motivo di esistere.

Poi ci sono le disparità meno visibili ma altrettanto concrete: quelle di stipendio, di accesso a determinati progetti, di possibilità di crescita verticale. In diversi casi, a parità di ruolo e responsabilità, le donne guadagnano meno dei colleghi uomini.

L’Unione Europea ha riconosciuto il problema a livello sistemico e ha varato una direttiva sulla trasparenza retributiva che gli Stati membri, inclusa l’Italia, dovranno attuare entro il 2026.

Non sarà la bacchetta magica che risolve tutto, ma è un passo.

E ogni passo verso la trasparenza, in un settore ancora poco regolato come la cyber, conta moltissimo.

Un Paese poco digitale che non può permettersi di scartare talenti

C’è un altro pezzo di realtà che non possiamo ignorare: in Italia, le competenze digitali nella popolazione sono ancora basse.

Meno della metà delle persone ha competenze di base, e la distanza dalla media europea è significativa. Questo si traduce in un ecosistema in cui: aziende faticano a trovare profili tecnici, molte persone non si sentono all’altezza di intraprendere percorsi IT, la cultura digitale è percepita come per pochi.

Se unito a decenni di stereotipi di genere (“le ragazze sono più portate per il linguistico, per l’umanistico, per il sociale”), il risultato è un imbuto strettissimo: pochi studenti scelgono l’ambito informatico, e tra questi le donne sono ancora una minoranza.

In un contesto così fragile, ogni donna che decide di entrare in cybersecurity compie un atto di rottura rispetto alle aspettative.

Non si parla solo di carriera individuale, ma di impatto collettivo: ogni percorso aperto da qualcuna rende il terreno un po’ più calpestabile per chi verrà dopo.

E, soprattutto, il settore non può permettersi di continuare a pescare sempre dallo stesso bacino ristretto di profili maschili, spesso con lo stesso tipo di background. È inefficiente, rischioso e miope.

Non si tratta solo di ‘’quote rosa’’

A volte il discorso viene semplificato: “Bisogna avere più donne per arrivare al 50 e 50”. Ma il punto non è solo l’estetica delle percentuali. La cybersecurity moderna è complessa. Richiede capacità di vedere connessioni tra tecnologia, persone, processi, contesto geopolitico, dinamiche economiche. Non è più solo “chiudere porte e configurare firewall”, ma gestire rischio, comunicare crisi, costruire strategie di lungo periodo.

In questo tipo di scenario, la diversità di prospettive non è un accessorio: è una forma di ridondanza intelligente. Un team composto da persone tutte simili tra loro tenderà a vedere gli stessi problemi, sempre dalla medesima prospettiva e ad ignorarne altri.

Un team eterogeneo per genere, età, background di studi, esperienze di vita ha molte più possibilità di cogliere segnali deboli, leggere i comportamenti umani legati alle minacce, intuire le implicazioni di una scelta tecnica sulle persone che la subiranno.

Le donne, in tutto questo, non sono “migliori per definizione”, ma portano spesso competenze e sensibilità preziose: attenzione alla comunicazione con il business, capacità di gestione relazionale dei conflitti, sensibilità rispetto alle implicazioni umane delle crisi di sicurezza, approccio sistemico che va oltre il singolo tool. Più donne in cybersecurity significa più modi diversi di difendere, non solo più statistiche da esibire nei report aziendali.

Le community che investono nel cambiamento

Negli ultimi anni, diverse community hanno supportato la presenza femminile nella cybersecurity. Tra queste, Cyber Angels, all’interno di Red Hot Cyber, offre uno spazio informale per condividere esperienze e creare una rete di supporto.

A livello europeo, Women4Cyber Foundation promuove la partecipazione femminile con programmi di mentorship e networking, mentre Women4Cyber Italia organizza eventi e percorsi di mentoring.

Il Laboratorio Nazionale di Cybersecurity del CINI coordina progetti formativi come CyberChallenge.IT, rivolti anche alle studentesse.

A livello globale, WiCyS offre programmi simili.

Queste community offrono opportunità concrete e, soprattutto, il messaggio che non si è mai sole in questo percorso. Il valore di queste community non è solo nelle opportunità concrete (borse di studio, workshop, contatti lavorativi), ma nel messaggio implicito che portano: non si è mai da sole. Qualcun’altra ha già affrontato quegli stessi dubbi, le stesse paure, le stesse frustrazioni. E ce l’ha fatta!

Essere una donna in Cyber Threat Intelligence

La Cyber Threat Intelligence è una di quelle aree che stanno a metà tra il mondo iper-tecnico e quello strategico. È un lavoro che richiede di entrare nella testa degli attaccanti, studiare campagne, analizzare infrastrutture, correlare indicatori tecnici e contesto geopolitico, per poi tradurre tutto questo in informazioni comprensibili per il business.

Essere una donna in questo ambito, significa vivere in modo amplificato questa dimensione “di confine”.

Da una parte ci sono i colleghi che amano parlare di TTP, di log, di sandbox, di memoria volatile. Dall’altra i manager, i board, i clienti che chiedono: “Che cosa significa tutto questo per noi? Quanto rischio corriamo? Cosa dovremmo fare domani?”.

Stare nel mezzo vuol dire allenare sia il linguaggio tecnico che quello umano.

Vuol dire imparare a cambiare registro a seconda dell’interlocutore, senza perdere precisione.

Vuol dire, soprattutto, sviluppare una grande capacità di ascolto: dell’organizzazione che si difende, del contesto in cui si opera, delle persone che si hanno intorno.

Il fatto di essere donna, in un ruolo come questo, significa talvolta essere vista istintivamente come “la persona che sa comunicare bene” prima che come “quella che sa analizzare un’infrastruttura di C2”. All’inizio può dare fastidio, perché sembra ridurre una competenza a una soft skill. Con il tempo, però, se si affianca alla capacità comunicativa una solidissima base tecnica, quella percezione si trasforma: si arriva ad essere la persona che riesce a fare da ponte tra due mondi che spesso non si parlano.

Non è sempre facile. Ci saranno momenti in cui ci si potrebbe sentire sottovalutate, situazioni in cui il proprio contributo verrà dato per scontato, ruoli in cui alzare la voce (anche metaforicamente) per non farsi schiacciare ai margini, potrebbe diventare una necessità.

Ma ci saranno anche momenti in cui prenderà il sopravvento la consapevolezza che il proprio sguardo ha fatto la differenza: un rischio che nessuno aveva visto, un segnale debole riconosciuto, un consiglio strategico che ha evitato a un’azienda un impatto serio. E quei momenti ripagano moltissimo.

Quando la paura di iniziare è il primo ostacolo

Ciò che va tenuto a mente è che nessuno nasce tecnico.

Chi oggi sembra muoversi con naturalezza tra protocolli, exploit e log, un tempo non aveva idea di che cosa fosse un pacchetto TCP o un SIEM.

Tutto si impara, non c’è un gene segreto della cybersecurity.

Non esiste soprattutto una “età giusta” o un percorso “perfetto”. Ci sono persone che sono arrivate alla sicurezza passando da lingue, psicologia, giurisprudenza, relazioni internazionali. Hanno portato con sé competenze fondamentali per domini come governance, risk management, privacy, awareness, social engineering, policy.

La cybersecurity non è solo exploit e reverse engineering: è anche processi, norme, persone, educazione, cultura aziendale. Se a mancare è la fiducia, l’importante è non guardare mai tutta la scala che si dovrà salire, ma iniziare ad affrontarla un gradino alla volta.

La verità è che nessuno si sente davvero pronto quando inizia. Si entra titubanti, si rimane per convinzione. La paura non è un segnale di inadeguatezza, è il segnale che si sta varcando un confine. La differenza la fa ciò che succede subito dopo: arretrare o fare un passo avanti.

Conclusioni: non esiste un “posto giusto”, esiste il posto che si decide di occupare

La cybersecurity è un’infrastruttura invisibile che tiene in piedi aziende grandi e piccole e persino una parte della vita quotidiana più semplice.

Ogni volta che un attacco viene fermato, che un incidente viene gestito, che una vulnerabilità viene chiusa, c’è qualcuno che ha scelto di stare dall’altra parte dello schermo.

Quel “qualcuno” non ha né volto né genere prestabilito. Può essere chiunque decida di esserci.

Dire che non è un mondo per donne significa, in realtà, accettare in silenzio che la sicurezza di tutti venga progettata e gestita da uno sguardo solo. È una rinuncia. È una forma di resa culturale. È lasciare che metà delle voci resti fuori dalla stanza in cui si prendono decisioni importanti. Ogni donna che sceglie la cybersecurity manda un messaggio potente, anche se non se ne accorge subito:

“Questo spazio mi appartiene tanto quanto a chiunque altro.”

Non è una dichiarazione contro qualcuno, non è una guerra di genere. È un atto di riequilibrio.

È dire ad alta voce ciò che dovrebbe essere ovvio: la competenza, il talento, la capacità di analisi, di gestione della crisi, di lettura del rischio non hanno sesso. Il settore, oggi, ha bisogno di menti lucide, di sguardi diversi, di persone che sappiano restare in piedi in mezzo al caos.

Ogni barriera culturale che scoraggia una ragazza dal provarci non è solo un’ingiustizia individuale, è un pezzo di difesa in meno per tutti.

In un Paese in cui il digitale fatica ancora a trovare spazio, ogni donna che decide di investire in competenze tecniche rompe un pezzo di narrativa vecchia: quella che relega le donne lontano dalle console, dagli alert, dai log, dalle scelte strategiche. Ogni ingresso rende quello successivo un po’ meno faticoso, è così che cambiano i settori: non con una rivoluzione improvvisa, ma con una serie di persone che, una dopo l’altra, si rifiutano di restare fuori.

Non si tratta di essere “più brave degli uomini”. Si tratta di essere sé stesse in un campo che, per troppo tempo, ha fatto finta che esistesse un solo modo “giusto” di essere professionisti IT.

Il posto a quella scrivania, davanti a quei monitor, in quelle riunioni, non è riservato a qualcun altro.

È lì, in attesa di chi decide di occuparlo. Non è il momento di farsi piccole per entrare negli spazi già esistenti, è il momento di allargare quegli spazi finché nessuno si sentirà di troppo.

Chi oggi decide di iniziare un percorso in cybersecurity sta scegliendo di stare dalla parte di chi difende, protegge, costruisce sicurezza dove prima c’era solo vulnerabilità e non c’è ruolo più potente, né per un professionista, né per una donna.

L'articolo Donne in Cybersecurity: da Outsider a Cornerstone proviene da Red Hot Cyber.

Cambridge City Manager Yi-An Huang pulled Cambridge’s Flock surveillance camera contract as a result of the December 9th Public Safety Meeting. Thanks to everyone who spoke out against these cameras and to Digital 4th and the ACLU for their efforts on this issue.

The Cambridge Police Department still wants to put up surveillance cameras from a different vendor instead of Flock, who put up two additional cameras after the City Council ordered them removed. That is a fight for another day. For now, we are happy for the win!

masspirates.org/blog/2025/12/1…

ICYMI

On October 20th, the United States Pirate Party had begun the process of determining the location of the 2026 Pirate National Conference, marking 20 years of the United States Pirate Party.

This week was the finals week between finalist cities Boston, MA (1) and Vicksburg, MS (4).

Tomorrow, December 15th, we shall reveal the winner of the location tournament finals and find out once and for all where the Conference will take place.

Those of you who are disappointed in your city of choice not making it to the finals, fear not: all ten cities eliminated, including the eleventh city due to be eliminated tomorrow, will remain in consideration for future conferences. San Francisco, which was the host city for the 2024 Pirate National Conference, shall return to consideration as well.

Pirates: Will it be Boston or will it be Vicksburg?

We shall find out tomorrow.

uspirates.org/icymi-the-tourna…

L’informatica e la tecnologia non sono più semplici strumenti al servizio dell’uomo: sono diventate l’infrastruttura invisibile su cui poggia gran parte dell’economia globale. Ogni gesto quotidiano, dal pagamento con lo smartphone allo streaming di un contenuto, dall’invio di una mail all’uso di un assistente vocale, attraversa piattaforme digitali costruite, gestite e monetizzate da colossi dell’hi-tech. Dietro l’apparente semplicità dell’interfaccia si muove un ecosistema complesso fatto di software, hardware, dati, algoritmi e soprattutto di business. Un business enorme, stratificato, spesso opaco, ma incredibilmente efficiente.

noblogo.org/lalchimistadigital…