Il gruppo di hacker Predatory Sparrow ha rivendicato martedì la responsabilità di un attacco informatico contro la Bank Sepah, uno dei più antichi istituti finanziari iraniani, legato al Corpo delle Guardie della Rivoluzione Islamica (IRGC) e all’esercito.

Il gruppo ha affermato di aver “distrutto tutti i dati” della banca.

L’emittente semi-ufficiale iraniana Fars riporta che i clienti hanno riscontrato problemi con la Bank Sepah a causa di un attacco informatico, dopo che un gruppo di hacker legato a Israele ha affermato di essersi introdotto nell’istituto e di averne interrotto le operazioni. Secondo il rapporto di Fars, i problemi riscontrati con Sepah potrebbero avere ripercussioni anche sulle stazioni di servizio che si affidano alla banca per elaborare le transazioni.

L’affermazione arriva in concomitanza con le segnalazioni di diffuse interruzioni delle attività bancarie in Iran. Martedì diverse filiali della Bank Sepah sono rimaste chiuse e i clienti hanno comunicato a Iran International di non riuscire ad accedere ai propri conti.
Distruzione dell'infrastruttura della Sepah Bank, affiliata al Corpo delle Guardie Rivoluzionarie Islamiche
Noi, i Predatory Sparrow, abbiamo distrutto tutti i dati della Bank Sepah in un'operazione informatica.

La Bank Sepah era un istituto utilizzato per aggirare le sanzioni internazionali e finanziare il terrorismo attraverso i conti correnti del popolo iraniano.

La Bank Sepah ha finanziato le forze armate per procura, i programmi missilistici e il progetto nucleare militare del regime.

Questo è il destino di un'istituzione dedita a preservare le fantasie terroristiche del dittatore.

Grazie agli amici patrioti che hanno reso possibile questo attacco.
Bank Sepah ( persiano : بانک سپه , Bānke Sepah ) è una banca iraniana . Fu fondata nel 1925 come prima banca iraniana. La sua prima filiale, a Teheran, aprì quello stesso anno. La banca ha anche filiali a Francoforte, Parigi e Roma, oltre a una sussidiaria, Bank Sepah International plc, a Londra. Sepah Bank ha recentemente unito altre quattro banche iraniane e un istituto di credito: Ansar Bank, Mehr Eghtesad Bank, Hekmat Iranian Bank, Ghavamin Bank e Kosar Credit Institution. L’app Omid Bank è un prodotto di Bank Sepah.

Bank Sepah ha 1.800 filiali in Iran e altre in Gran Bretagna, Francia, Germania e Italia. Gli Stati Uniti hanno imposto sanzioni a Bank Sepah nel 2019, dopo il suo ritiro dall’accordo nucleare iraniano del 2015. Gli utenti hanno anche segnalato che le carte emesse da Kosar e Ansar, entrambe collegate alle banche militari iraniane, non funzionavano. Anche Ansar era sottoposta a sanzioni statunitensi .

Le autorità iraniane non hanno rilasciato dichiarazioni sulle interruzioni o sull’attacco informatico. Tuttavia, l’agenzia di stampa Fars dell’IRGC ha affermato che il problema alla Sepah Bank sarà risolto entro poche ore. Predatory Sparrow, che in passato aveva rivendicato operazioni informatiche contro acciaierie e stazioni di servizio iraniane, ha affermato in un post sui social media che Bank Sepah era stata utilizzata per finanziare programmi militari e aggirare le sanzioni internazionali.

Il gruppo, che l’Iran ha precedentemente accusato di avere sostegno straniero, in particolare da Israele, ha affermato di aver preso di mira la banca per il suo presunto ruolo nel sostenere gli sforzi missilistici e nucleari dell’Iran.

L'articolo Cyberattacco shock in Iran: Gli hacktivisti di Predatory Sparrow colpiscono Bank Sepah proviene da il blog della sicurezza informatica.

Autori: Simone D’Agostino e Antonio Piovesan

Abbiamo spesso parlato di casi di vettori di attacco come e-mail/sms di phishing, siti abbeveratoio (watering hole) o altro riconducibile in generale a social engineering, quest’oggi invece vi parleremo di una nuova modalità che sfrutta una tecnologia nata da pochi anni e che si sta sempre più diffondendo.

Il 12 giugno 2025, Kaspersky GReAT ha pubblicato un’allerta riguardante una sofisticata campagna malware che sfrutta la crescente diffusione di modelli linguistici offline (Offline LLM) per colpire utenti Windows.Il malware, mai emerso prima, è stato denominato BrowserVenom: è progettato per intercettare il traffico web delle vittime, rubando credenziali e informazioni personali.

Ma la vera novità è appunto il vettore d’inganno: si presenta come una falsa versione installabile del noto LLM DeepSeek-R1.

Come funziona l’attacco

BrowserVenom si diffonde attraverso un sito fake che replica in modo credibile la homepage di DeepSeek-R1, uno dei modelli open-source più ricercati del momento, in grado di funzionare offline tramite strumenti come Ollama o LM Studio.

Catena d’infezione:

• L’utente cerca “DeepSeek R1” su Google;
• Clicca su un risultato pubblicitario o SEO manipolato;
• Apre una pagina che emula la UI ufficiale;
• Scarica un falso installer (che include Ollama o LM Studio contraffatti), al cui interno è incorporato anche BrowserVenom;
• Se l’utente dispone di privilegi di amministratore, il malware si installa e modifica i proxy dei browser.

Impatto tecnico

Una volta installato, BrowserVenom:

• Devia tutto il traffico web (HTTP/HTTPS) verso proxy remoti controllati dagli attaccanti;
• Intercetta dati di navigazione: cookie, credenziali, contenuti dei form, cronologia;
• Aggira Windows Defender mediante tecniche di evasione comportamentale;
• Persiste nel sistema modificando i file di configurazione proxy nei browser principali (Chrome, Edge, Firefox).

Analisi OSINT: come è emerso deepseek-r1.com

La nostra analisi OSINT indipendente ha individuato il dominio deepseek-r1.com come nodo centrale della campagna.
Partendo dalle tecniche descritte da Kaspersky — in particolare l’uso fraudolento del nome DeepSeek — è stato possibile, tramite monitoraggio SEO e analisi delle SERP, isolare il dominio compromesso.

Le SERP (Search Engine Results Pages) sono le pagine di risultati che i motori di ricerca mostrano all’utente quando effettua una ricerca per una certa parola chiave: al loro interno link e pagine web sono selezionati e ordinati tenendo conto della capacità dei contenuti di soddisfare l’intenzione di ricerca insieme ad altri fattori.

Il sito risultava posizionato nei primi risultati sponsorizzati o organici di Google, accanto a fonti legittime come Hugging Face o deepseek.com, sfruttando tecniche avanzate di SEO poisoning.

Cosa abbiamo scoperto

Il dominio deepseek-r1.com

• Il dominio deepseek-r1.com:
• Registrato a gennaio 2025 tramite Namecheap, con protezione privacy attiva;
• Hostato su IP 147.79.79.153 e 147.79.72.122, appartenente a un range Hostinger già associato ad attività sospette;
• Segnalato da 12 motori antivirus su VirusTotal come malware, infostealer o phishing (tra cui BitDefender, Fortinet, G-Data, Kaspersky).

Cos’è il SEO poisoning?

Il SEO poisoning è una tecnica in cui gli attaccanti manipolano i motori di ricerca per far apparire link fraudolenti accanto a contenuti legittimi.

Nel caso di deepseek-r1.com, il sito sfrutta:

• Iniezione massiva di keyword come “DeepSeek no login” o “Download GPT open source”;
• Sitemap ben strutturate e frequentemente aggiornate;
• Hosting su CMS ottimizzati (WordPress + CDN Hostinger);
• Probabile cloaking: contenuti differenti per i bot dei motori di ricerca rispetto agli utenti reali.

Il cloaking è una tecnica mediante la quale, grazie a particolari script, è possibile fare in modo che un sito web mostri ai motori di ricerca un contenuto differente da quello che realmente il sito stesso propone agli utenti fisici/ai visitatori, consentendo così di ottenere un migliore posizionamento all’interno delle pagine SERP.

Domini collegati: riflessioni e precauzioni

L’analisi ha evidenziato collegamenti tecnici e di referral tra deepseek-r1.com e altri domini:

• 8pixlabs.com: presente nei referral. Alcuni motori AV lo classificano come “malicious”, ma non vi sono elementi per attribuirgli un ruolo diretto nella catena d’infezione.
• ai-pro.org: linkato dalla falsa UI, presenta DNS Cloudflare e IP 172.67.38.167.
  È stato registrato nel 2022 via Moniker. La sua infrastruttura è menzionata in alcuni dump OSINT legati a traffico automatizzato o anomalo, ma non risulta flaggato al momento su VirusTotal.

Potrà avere vittime in Italia?

Ad oggi non risultano infezioni accertate in Italia, ma:

• Il sito è accessibile da IP italiani;
• È indicizzato su Google.it tra i risultati legittimi;
• Il file si scarica senza allarmi AV o blocchi DNS.

Indicatori di Compromissione (IoC)

• Dominio: deepseek-r1.com
• IP: 147.79.79.153 – 147.79.72.122
• CDN: Hostinger CDN
• CMS: WordPress 6.7.2
• Certificato TLS: ZeroSSL RSA, valido fino ad agosto 2025
• SHA256 (installer infetto): non pubblico, ma rilevato da almeno 12 AV

Conclusione

La campagna BrowserVenom sfrutta il boom dell’AI offline per colpire in modo silenzioso ma efficace.
Il dominio deepseek-r1.com, al centro della catena d’infezione, è stato scoperto dalla nostra redazione OSINT prima delle segnalazioni ufficiali.

L’indagine dimostra come campagne SEO ben orchestrate possano alterare i risultati di ricerca, convincendo l’utente ad affidarsi a strumenti, in questo caso di AI, manipolati per rubare credenziali o altre informazioni personali o sensibili.

L'articolo BrowserVenom, il malware che sfrutta DeepSeek per rubare dati. Può colpire anche in Italia? proviene da il blog della sicurezza informatica.

YOLO can mean many things, but in the context of [be_riddickulous]’s AI Talking Robot Dinosaur it refers to the “You Only Look Once” YOLOv11 object-detection algorithm by Ultralytics, the method by which this adorable dino recognizes colors and shapes to teach them to children.

If you’re new to using YOLO or object recognition more generally, [be_riddiculous]’s tutorial is not a bad place to get started. She goes through how many images you’ll need and what types to get the shape-and-color recognition needed for this project, as well as how to annotate them and train the model, either locally or in the cloud.

The project itself is an adorable paper-mache dinosaur with a servo-actuated mouth hiding some LEDs and a Raspberry Pi camera module to provide images. In operation, the dinosaur “talks” to children using pre-recorded voice lines, inviting them to play a game and put a specific shape, or shape of a specific color (or both) in its mouth. Then the aforementioned object detection (running on a laptop) goes “YOLO” and identifies the shape so the toy can provide feedback on the child’s choice via a speaker in the belly of the beast.

The link to the game code is currently not valid, but it looks like they used PyGame for the audio output code. A servo motor controls the mouth, but without that code it’s not entirely clear to us what it’s doing. We expect by the time you read this there’s good odds [be_riddickulous] will have fixed that link and you can see for yourself.

The only thing that holds this back from being a great toy to put in every Kindergarten class is the need to have a laptop close by to plug the webcam into. A Raspberry Pi 5 ought to have the horsepower to run YOLOv11, so with a little extra effort the whole thing could be standalone — there might even be room in there for batteries.We’ve had other hacks aimed at little ones, like a kid-friendly computer to relive the glory days of the school computer lab or one of the many iterations of the RFID jukebox idea. If you want to wow the kiddos with AI, perhaps take a look at this talking Santa plush.

Got a cool project, AI, kid-related, or otherwise? Don’t forget to toss us a tip!

hackaday.com/2025/06/17/robot-…

Una vulnerabilità nel modulo di recupero del nome utente legacy di Google permetteva di indovinare il numero di telefono completo associato a un account, conoscendo solo il nome visualizzato e parte del numero. Questa falla aumentava notevolmente il rischio di attacchi mirati, dal phishing al furto di SIM card.

La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BruteCat, divenuto famoso in precedenza per essere riuscito a violare gli indirizzi email privati ​​dei proprietari di account YouTube. Questa volta, ha trovato un modo per aggirare le restrizioni del modulo di recupero del nome utente di Google, progettato per browser senza supporto JavaScript. A differenza della versione attuale, il vecchio modulo non includeva meccanismi moderni di protezione contro le azioni automatiche e rimaneva accessibile alle richieste.

BruteCat notò che il modulo gli permetteva di scoprire se un determinato numero di telefono fosse associato a un account Google specifico, conoscendo il nome del profilo e parte del numero. Iniziò a inviare richieste POST, sostituendo diverse combinazioni, e riuscì ad aggirare con successo la limitazione di base sul numero di tentativi. Per riuscirci, utilizzò la rotazione scalabile degli indirizzi IPv6: grazie alle subnet /64, era possibile generare un numero virtualmente infinito di IP univoci senza attivare blocchi.

Il ricercatore ha anche trovato un modo per aggirare la protezione CAPTCHA assegnando un token BotGuard valido, ottenuto dalla versione JavaScript dello stesso modulo, al parametro “bgresponse=js_disabled”. Ha estratto questo token automaticamente utilizzando il browser Chrome headless, scrivendo uno script separato per la generazione.

Queste tecniche sono state utilizzate per creare uno strumento chiamato gpb, che ha forzato in brute force i numeri di telefono rispetto a pattern specifici di diversi paesi, utilizzando la libreria libphonenumber di Google stessa e un database predefinito di maschere. A una velocità di 40.000 query al secondo, ci sono voluti circa 20 minuti per trovare un numero completo negli Stati Uniti, 4 minuti nel Regno Unito e meno di 15 secondi nei Paesi Bassi.

Per avviare l’attacco, era necessario conoscere l’indirizzo email della vittima, ma BruteCat ha aggirato anche questo ostacolo. Ha creato un documento in Looker Studio e ha trasferito la proprietà dell’account della vittima.

Non restava che specificare il numero, e qui entrarono in gioco altri servizi. Ad esempio, quando si cerca di reimpostare una password su PayPal, si possono vedere più cifre di un numero di telefono di quante ne mostri Google: questo era sufficiente per restringere l’intervallo di valori possibili. Quindi BruteCat ha raccolto i numeri completi associati agli account e, secondo lui, nella stragrande maggioranza dei casi si trattava dei numeri di telefono principali dei proprietari.

I dati ottenuti hanno dato al ricercatore di sicurezza l’opportunità di effettuare attacchi mirati, dall’ingegneria sociale al furto di un numero di telefono tramite più operatori. Questo approccio è diventato particolarmente pericoloso se combinato con e-mail e altre fughe di notizie precedentemente divulgate.

Il ricercatore ha segnalato la vulnerabilità a Google il 14 aprile 2025. Inizialmente, l’azienda ha valutato il rischio come basso, ma un mese dopo, il 22 maggio, ha aumentato il livello di minaccia a medio e ha implementato misure di mitigazione temporanee. BruteCat ha ricevuto una ricompensa di 5.000 dollari per la sua ricerca.

Il 6 giugno, Google ha disattivato completamente la vulnerabilità, rendendo impossibile qualsiasi ulteriore sfruttamento. Tuttavia, non è ancora noto se questa tecnica sia stata utilizzata da qualcuno prima che la vulnerabilità venisse ufficialmente chiusa.

L'articolo BruteCat buca Google: scoperti numeri di telefono nascosti con un semplice script proviene da il blog della sicurezza informatica.

La Relazione Europea sulla Droga 2025: Tendenze e Sviluppi presenta l'ultima analisi dell'EUDA sulla situazione della droga in Europa. L’ #EUDA è l’Agenzia dell’Unione europea sulle droghe (European Union Drugs Agency). È un organismo dell’ #UE con sede a Lisbona, operativo dal 2 luglio 2024, che ha sostituito il precedente Osservatorio europeo delle droghe e delle tossicodipendenze.

Concentrandosi sul consumo di droghe illecite, sui danni correlati e sull'offerta di droga, la relazione fornisce una serie completa di dati nazionali su questi temi, nonché sui trattamenti specialistici per la tossicodipendenza e sui principali interventi di riduzione del danno.

Il report fornisce una panoramica aggiornata sulla situazione delle droghe in Europa fino alla fine del 2024, evidenziando tendenze e sviluppi rilevanti per le politiche e gli operatori del settore.

Offerta, produzione e precursori
La disponibilità di droghe illecite rimane elevata per tutte le sostanze. I dati del 2023 mostrano tendenze stabili nei sequestri e nei reati legati alla droga, con una produzione significativa e sequestri di precursori chimici.

Cannabis
È la droga illecita più consumata in Europa. I dati includono prevalenza d’uso, richieste di trattamento, sequestri, prezzo, purezza e danni associati.

Cocaina
Seconda droga più usata dopo la cannabis, con variazioni significative tra i paesi. Il report analizza uso, trattamento, sequestri, prezzo, purezza e danni.

Stimolanti sintetici
Comprendono amfetamina, metamfetamina e catinoni sintetici. L’analisi copre uso, trattamento, sequestri, prezzo, purezza e impatti sulla salute.

MDMA
Associata principalmente al contesto ricreativo e notturno. Il report esamina uso, sequestri, prezzo e purezza.

Eroina e altri oppioidi
L’eroina è l’oppioide illecito più usato e causa un notevole carico sanitario. La situazione evolve, influenzando le strategie di intervento.

Nuove sostanze psicoattive
Il mercato è dinamico, con nuove sostanze rilevate ogni anno. Include cannabinoidi sintetici, catinoni, oppioidi sintetici e nitazeni.

Altre droghe
LSD, funghi allucinogeni, ketamina, GHB e protossido di azoto sono usati in Europa. Il report analizza uso, sequestri, trattamento e danni.

Uso di droghe per via iniettiva
In calo negli ultimi dieci anni, ma ancora associato a gravi danni sanitari. Include dati su prevalenza e analisi dei residui nelle siringhe.

Malattie infettive correlate
Chi si inietta droghe è a rischio di infezioni come HIV ed epatiti B e C. Il report fornisce dati aggiornati su queste infezioni.

Morti indotte da droghe
Fondamentale per valutare l’impatto sulla salute pubblica. Include dati su overdose e sostanze coinvolte.

Trattamento con agonisti degli oppioidi
È il trattamento specialistico più comune per gli utenti di oppioidi. Il report analizza copertura, accesso e percorsi terapeutici.

Riduzione del danno
Comprende interventi per ridurre i danni sanitari, sociali ed economici. Include programmi con naloxone, stanze del consumo e trattamenti sostitutivi.

La pubblicazione è scaricabile qui edr-2025-full-book-6.06.2025-en.pdf

@Notizie dall'Italia e dal mondo

During Apple’s late-90s struggles with profitability, it made a few overtures toward licensing its software to other computer manufacturers, while at the same time trying to modernize its operating system, which was threatening to slip behind Windows. While Apple eventually scrapped their licensing plans, an interesting product of the situation was Rhapsody OS. Although Apple was still building PowerPC computers, Rhapsody also had compatibility with Intel processors, which [Omores] put to good use by running it on a relatively modern i7-3770 CPU.

[Omores] selected a Gigabyte GA-Z68A-D3-B3 motherboard because it supports IDE emulation for SATA drives, a protocol which Rhapsody requires. The operating system installer needs to run from two floppy disks, one for boot and one for drivers. The Gigabyte motherboard doesn’t support a floppy disk drive, so [Omores] used an older Asus P5E motherboard with a floppy drive to install Rhapsody onto an SSD, then transferred the SSD to the Gigabyte board. The installation initially had a kernel panic during installation caused by finding too much memory available. Limiting the physical RAM available to the OS by setting the maxmem value solved this issue.

After this, the graphical installation went fairly smoothly. A serial mouse was essential here, since Rhapsody doesn’t support USB. It detected the video card immediately, and eventually worked with one of [Omores]’s ethernet cards. [Omores] also took a brief look at Rhapsody’s interface. By default, there were no graphical programs for web browsing, decompressing files, or installing programs, so some command line work was necessary to install applications. Of course, the highlight of the video was the installation of a Doom port (RhapsoDoom).

This isn’t the first obscure Apple operating system we’ve seen; some of them have even involved updates to Apple’s original releases. We’ve also seen people build Apple hardware.

youtube.com/embed/uE6qp94InBM?…

Thanks to [Stephen Walters] for the tip!

hackaday.com/2025/06/16/bringi…

Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identificato con lo pseudonimo “samy01”, ha pubblicato su un forum underground molto frequentato un’inserzione dal titolo: “RDWeb / Italy / 24 kk / Domain User”.

Il post, come di consueto, riporta la tipologia di accessi in vendita e informazioni sul target. In particolare:

• Settore: Industrial Machinery & Equipment Manufacturing
• Tipologia di accesso: RDWeb (Remote Desktop Web Access)
• Tipologia di utenze: Domain User
• Informazioni sul dominio Active Directory:
  
  • 2 Domain Controller
  • 1 Trust attivo
  • 568 computer di dominio

  
  

• Tipologia di antivirus: SentinelOne

La dimensione dell’infrastruttura compromessa – con quasi 600 postazione di lavoro – suggerisce che si tratti di un’azienda strutturata, con una dimensione importante e una classe di fatturato (come riportato nel post) di circa 24 miliardi di dollari.

Il venditore samy01 risulta registrato da marzo 2024 ed ha all’attivo 13 post sul forum. La dicitura “Autogarant: 2” indica che ha già concluso due transazioni tramite il sistema di escrow automatico offerto da Exploit.in, a conferma dell’affidabilità come venditore sulla piattaforma.

L’inserzione è stata messa all’asta, con le seguenti condizioni:

• Prezzo di partenza: 1.000$
• Incremento minimo: 250$
• Blitz price (acquisto immediato): 2.000$
• Forum escrow disponibile per la transazione
• Contatto via PPS (point-to-point secure chat) disponibile 24 ore su 24

Il fatto che si tratti di un’azienda appartenente alla meccanica industriale la rende un obiettivo particolarmente sensibile, sia per il valore della proprietà intellettuale, sia per la possibilità di propagare attacchi verso clienti o fornitori.

Inoltre, la menzione di RDWeb come punto di accesso suggerisce che l’attaccante abbia compromesso un servizio esposto pubblicamente su Internet, probabilmente attraverso vulnerabilità note o brute force su credenziali deboli.

La presenza di SentinelOne indica che l’azienda è dotata di soluzioni di EDR (Endpoint Detection and Response), ma questo non ha impedito l’infiltrazione iniziale, a dimostrazione del fatto che la difesa perimetrale da sola non è sufficiente senza un efficace controllo degli accessi e monitoraggio continuo.

Rdp Esposto su Internet, fate attenzione!

L’esposizione del protocollo RDP (Remote Desktop Protocol) direttamente su Internet rappresenta una delle superfici d’attacco più comuni e pericolose. Gli attaccanti sfruttano costantemente motori di scansione automatizzati per individuare sistemi RDP accessibili pubblicamente, tentando poi attacchi brute-force o sfruttando vulnerabilità note.

Esporre RDP senza adeguate contromisure equivale a lasciare una porta d’ingresso aperta verso l’intera infrastruttura IT.

Gli strumenti di amministrazione remota non devono mai essere raggiungibili direttamente da Internet. Se è necessario accedervi da remoto, occorre implementare una VPN dedicata esclusivamente al management, protetta da un sistema di doppia autenticazione (2FA).

Questo approccio riduce drasticamente il rischio di accessi non autorizzati, anche in caso di compromissione delle credenziali. Una VPN di management ben configurata rappresenta una barriera fondamentale contro attacchi come ransomware, intrusioni mirate e movimenti laterali nella rete.

Un mercato fiorente per accessi corporate

L’Italia continua a rappresentare un mercato interessante per gli Initial Access Broker. Nel solo 2025, sono già decine i casi tracciati da Red Hot Cyber di aziende italiane i cui accessi sono stati messi in vendita.

Questo nuovo caso è l’ennesimo campanello d’allarme per il settore industriale italiano: l’accesso remoto deve essere protetto da MFA, i servizi esposti pubblicamente devono essere monitorati attivamente, e ogni anomalia deve essere considerata potenzialmente sintomatica di compromissione.

Il tempo che intercorre tra la vendita di un accesso e il deployment di un ransomware si misura in ore o (come osservato di recente) in minuti. La prevenzione, la segmentazione della rete e la formazione del personale sono ormai imprescindibili.

L'articolo Gli accessi ad una grande azienda italiana della meccanica industriale in vendita nel Dark Web proviene da il blog della sicurezza informatica.

A volte, è utile guardare indietro per comprendere meglio le minacce attuali. Un esempio ci arriva da una vecchia, ma sempre attuale, vulnerabilità di PHP Object Injection che interessa vBulletin 4.x.

Circa un decennio fa, il popolare software per forum web, vBulletin 4.x, fu interessato da una vulnerabilità di PHP Object Injection. Questa falla critica è stata trovata e documentata dal ricercatore di sicurezza Egidio Romano (EgiX) che ha recentemente rilevato un’altra vulnerabilità su vBulletin.

Curiosamente, questa falla fu introdotta da una patch di sicurezza del 2014 che, nel tentativo di migliorare la protezione, sostituì serialize() con json_encode(), creando involontariamente un nuovo vettore di attacco: la possibilità di eseguire una PHP Object Injection.

Questa modifica potrebbe permettere agli aggressori di firmare payload serializzati codificati in base64, portando potenzialmente ad attacchi di esecuzione di codice remoto (RCE) tramite chiamate malevole a /private.php.

La vulnerabilità risiede nella funzione verify_client_string(), progettata per prevenire la manomissione dei dati lato client. Tuttavia, a causa del modo in cui json_encode() e base64_decode() gestiscono i dati, gli aggressori possono aggirare questi controlli. Un payload ben congegnato, iniettato attraverso il parametro POST messageids in /private.php, può portare alla deserializzazione di oggetti malevoli.

L’analisi ha rivelato che, combinando questa iniezione, è possibile costruire una “POP chain” (Property Oriented Programming chain). Una POP chain è una sequenza di oggetti serializzati, che grazie a chiamate a metodi magici di PHP (__wakeup(), __destruct(), __call(), ecc.) che vengono invocate automaticamente durante la deserializzazione o la manipolazione di oggetti, potrebbero permettere all’attaccante di eseguire codice arbitrario.

In questo caso specifico, è stata sfruttata la classe DateTime di PHP, che, in combinazione con le strutture di classe di vBulletin, ha consentito l’esecuzione arbitraria di codice sul server. La vulnerabilità è stata testata e confermata su vBulletin versione 4.2.3 Patch Level 2, 4.2.3 e 4.2.2 con le “security patches” applicate, su PHP versione 5.6.5. Si noti infatti che questa “POP chain” funziona solo con alcune vecchie versioni di PHP (5.3.0. – 5.3.29, 5.4.0 – 5.4.37, 5.5.0 – 5.5.21, e 5.6.0 – 5.6.5).

Questa storia evidenzia i pericoli della deserializzazione insicura e i rischi derivanti dall’applicazione di patch di sicurezza affrettate a codice legacy. Anche nei sistemi più datati, le moderne tecniche di exploit possono essere estremamente efficaci. Le vulnerabilità di vBulletin, sia quelle più datate che quelle più recenti, ci ricordano l’importanza di mantenere i sistemi aggiornati e di adottare pratiche di sviluppo sicure per proteggersi da attacchi potenzialmente devastanti.

L'articolo La Macchina del Tempo delle Vulnerabilità: vBulletin 4.x e PHP Object Injection proviene da il blog della sicurezza informatica.

If you were alive when 2001: A Space Odyssey was in theaters, you might have thought it didn’t really go far enough. After all, in 1958, the US launched its first satellite. The first US astronaut went up in 1961. Eight years later, Armstrong put a boot on the moon’s surface. That was a lot of progress for 11 years. The movie came out in 1968, so what would happen in 33 years? Turns out, not as much as you would have guessed back then. [The History Guy] takes us through a trip of what could have been if progress had marched on after those first few moon landings. You can watch the video below.

The story picks up way before NASA. Each of the US military branches felt like it should take the lead on space technology. Sputnik changed everything and spawned both ARPA and NASA. The Air Force, though, had an entire space program in development, and many of the astronauts for that program became NASA astronauts.

The Army also had its own stymied space program. They eventually decided it would be strategic to develop an Army base on the moon for about $6 billion. The base would be a large titanium cylinder buried on the moon that would house 12 people.

The base called for forty launches in a single year before sending astronauts, and then a stunning 150 Saturn V launches to supply building materials for the base. Certainly ambitious and probably overly ambitious, in retrospect.

There were other moon base plans. Most languished with little support or interest. The death knell, though, was the 1967 Outer Space Treaty, which forbids military bases on the moon.

While we’d love to visit a moon base, we are fine with it not being militarized. We also want our jet packs.

youtube.com/embed/Bp6xtAtNOkQ?…

hackaday.com/2025/06/16/histor…

Most people know that they shouldn’t plug strange flash drives into their computers, but what about a USB cable? A cable doesn’t immediately register as an active electronic device to most people, but it’s entirely possible to hide a small, malicious microcontroller inside the shell of one of the plugs. [Joel Serna Moreno] and some collaborators have done just that with their Evil Crow Cable-Wind.

This cable comes in two variants: one USB-A to USB-C, and one with USB-C to USB-C. A tiny circuit board containing an ESP32-S3 hides inside a USB-C plug on each cable, and can carry out a keystroke injection attack. The cable’s firmware is open-source, and has an impressive set of features: a payload syntax checker, payload autocompletion, OS detection, and the ability to impersonate the USB device of your choice.

The cable provides a control interface over WiFi, and it’s possible to edit and deploy live payloads without physical access to the cable (this is where the syntax checker should be particularly useful). The firmware also provides a remote shell for computers without a network connection; the cable opens a shell on the target computer which routes commands and responses through the cable’s WiFi connection (demonstrated in the video below).

The main advantage of the Evil Crow Cable Wind is its price: only about $25, at which point you can afford to lose a few during deployment. We’ve previously seen a malicious cable once before. Of course, these attacks aren’t limited to cables and USB drives; we’ve seen them in USB-C docks, in a gaming mouse, and the fear of them in fans.

youtube.com/embed/FmkIHYdOxS4?…

Thanks to [rustysun9] for the tip!

hackaday.com/2025/06/16/an-ope…