Windows 10 Addio! Ora Microsoft Ti Lascia Installare Windows 11 a tuo rischio e pericolo
A meno di un anno dalla fine della manutenzione di Windows 10, Microsoft conferma la possibilità di installare Windows 11 su PC non compatibili, specificando di non essere responsabile di ogni potenziale problema aggiungendo due piccoli dolorosi avvertimenti.
Dopo molti anni di servizio, Windows 10 verrà ritirato il 14 ottobre 2025, tra poco meno di un anno. Dopo tale data il sistema rimarrà ovviamente funzionante, ma non riceverà più alcun aggiornamento, né di qualità né di sicurezza. Continuare a utilizzare un computer con Windows 10 sarà quindi possibile, ma esporrà a maggiori rischi di pirateria informatica e potenziali problemi di stabilità.
Aggiornamento a Windows 11 o rimanere su Windows 10
Per i possessori di un computer che utilizza ancora questo sistema operativo sono possibili diverse soluzioni a seconda dei casi illustrati. Se il PC soddisfa i requisiti hardware, il modo più semplice è eseguire l’aggiornamento gratuito a Windows 11. Questo a condizione che il software di cui hai assolutamente bisogno funzioni con questa versione. Per i PC incompatibili, tuttavia, le cose sono un po’ più complicate.
La soluzione consigliata da Microsoft, ma anche la più costosa, è investire in un nuovo computer compatibile con Windows 11. Per chi non vuole o non può permettersi un simile acquisto, Microsoft offre un programma di manutenzione estesa per Windows 10. Per la cifra di 30 dollari, ti permetterà di beneficiare di un ulteriore anno di mantenimento. Una tregua a breve termine che non vale davvero il prezzo.
Rimangono quindi due strade possibili: sostituire Windows 10 con una distribuzione Linux, come Ubuntu, Linux Mint o anche Fedora. Oppure forzare l’installazione di Windows 11 utilizzando una tecnica per aggirare i requisiti hardware del sistema. La manovra è abbastanza semplice e non richiede particolari conoscenze informatiche, ma presenta comunque alcuni inconvenienti, sui quali Microsoft insiste molto.
Installare Windows 11 su un PC non compatibile è possibile ma non in tutti i casi
Come promemoria, quando è stato rilasciato Windows 11, Microsoft ha imposto un elenco di caratteristiche hardware che i PC che desiderano aggiornare devono soddisfare. Tra i requisiti, la presenza di un processore a 64 bit con una frequenza di almeno 1 GHz e che supporti le istruzioni POPCNT e SSE4.2, una RAM minima di 4 GB e un modulo di sicurezza TPM 2.0.
È proprio quest’ultimo punto che ha cristallizzato le frustrazioni degli utenti. Molti processori che si sono rivelati abbastanza potenti per far funzionare Windows 11 sarebbero sprovvisti di questo chip TPM 2.0. pertanto si ritroverebbero privati dell’ultima versione del sistema operativo. Da allora, sono stati sviluppati una moltitudine di tecniche e strumenti, dagli stessi utenti, per aggirare questo vincolo e installare Windows 11 su PC normalmente incompatibili.
Esistono diversi metodi di facile implementazione. Come l’utilizzo dello strumento Rufus, che offre un’opzione specifica per creare una chiave USB di installazione di Windows 11 che ignora la presenza di un modulo TPM 2.0. Oppure lo script FlyBy11 che consente l’aggiornamento di un modulo non compatibile con la versione 24H2 di Windows 11. La pratica è talmente diffusa che Microsoft fornisce addirittura un metodo per farlo nella sua pagina dedicata all’installazione di Windows 11, basato sulla modifica di una chiave di registro.
Se esistono soluzioni per aggirare la presenza di un chip TPM 2.0, non esiste però alcuna tecnica per installare Windows 11 su un PC dotato di processore che non supporta le istruzioni POPCNT e SSE4.2. Per queste macchine non c’è altra alternativa che continuare con Windows 10 o migrare a una distribuzione Linux.
Installazione sconsigliata e forti incentivi a non farlo
Con l’avvicinarsi della fine vita di Windows 10 e di fronte all’ondata di metodi per aggirare i suoi requisiti hardware, Microsoft sembra quindi essersi arresa. Sta quindi cercando di bloccare l’installazione di Windows 11 su PC non compatibili. Questo anche se sconsiglia vivamente questa pratica, e ha voluto renderlo noto in maniera perfettamente chiara e alquanto invasiva.
Innanzitutto, nella sua pagina web dedicata all’installazione di Windows 11 su un computer che non soddisfa i requisiti hardware, Microsoft ha aggiunto un lungo paragrafo. Questo paragrafo funge da “disclaimer”. L’azienda tiene a precisare che declina ogni responsabilità in caso di problema, hardware o software, verificatosi su un PC che avrebbe forzato l’installazione di Windows 11.
Ma soprattutto, l’azienda indica in questa stessa pagina che ci sarà una filigrana inamovibile, la quale verrà aggiunta sul desktop dopo aver installato Windows 11 su un computer incompatibile. Sulla stessa linea, un messaggio di avviso apparirà inaspettatamente nelle Impostazioni di Windows, per ricordare regolarmente all’utente che il suo PC non soddisfa i requisiti minimi di configurazione.
Una pratica un po’ aggressiva ed invasiva, a cui purtroppo Microsoft è abituata nella comunicazione e promozione di questi prodotti. Non siamo sicuri che questo atteggiamento avrà l’effetto desiderato sui possessori di un PC ufficialmente non compatibile con Windows 11, ma non possiamo biasimare l’azienda per non aver avvisato i propri utenti dei rischi che comporta.
Una buona notizia, però: sempre sulla stessa lunghezza d’onda, Microsoft ora descrive in modo molto chiaro la procedura da seguire per effettuare il downgrade a Windows 10 in caso di problemi. Anche se la maggior parte delle persone che hanno installato forzatamente Windows 11 non riscontrano grossi problemi con il proprio PC, è sempre utile avere un modo conveniente per tornare indietro per coloro che potrebbero riscontrare difficoltà.
L'articolo Windows 10 Addio! Ora Microsoft Ti Lascia Installare Windows 11 a tuo rischio e pericolo proviene da il blog della sicurezza informatica.
Scratch And Sniff Stickers And The Gas Panic of ’87
Ever wonder how those scratch and sniff stickers manage to pack a punch of aroma into what looks like ordinary paper? The technology behind it is deceptively clever, and has been used everywhere from children’s books to compact discs.
Most Scratch and Sniff stickers are simple nose-based novelties, though they’ve seen other uses as diagnostic tools, too. As Baltimore Gas and Electric discovered in 1987, though, these stickers can also cause a whole lot of hullabaloo. Let’s explore how this nifty technology works, and how it can go—somewhat amusingly—wrong.
The Science
At its heart, scratch and sniff technology involves the microencapsulation of tiny smellable particles, which are then impregnated into stickers or other paper products. Microscopic amounts of aromatic materiale are trapped inside gelatin or plastic capsules, and then stuck to paper. When you scratch the surface, these capsules rupture, releasing their aromatic cargo into the air. It’s an elegant feat of materials engineering, originally developed by Gale W. Matson. Working at 3M in the 1960s, he’d been intending to create a new kind of carbonless copy paper.
Scratch and Sniff stickers soon became a popular novelty in the 1970s. The catchy name was perfect—it told you everything you need to know. A children’s book named Little Bunny Follows His Nose was one of the first widespread applications. Released in 1971, it was entirely based around the whole scratch and sniff concept. Children could read along and scratch various illustrations of peaches, roses and pine needles to see what they smelled like. The book was reprinted multiple times, remaining in publication for over three decades.
Other popular media soon followed. Pop rock band The Raspberries put a scratch and sniff sticker on their album cover in 1972. Director John Waters would go on to release his 1981 film Polyester with an accompanying “Odorama” card, which featured multiple smells for viewers to sniff during the movie. The concept still resurfaces occasionally, though the gimmick is now well-worn. In 2010, Katy Perry’s Teenage Dream album smelled like cotton candy thanks to a scratch-and-sniff treatment on the Deluxe Edition, and King Gizzard & The Lizard Wizard put a similar touch on 2017’s Flying Microtonal Banana.
Best Intentions
Could scratch and sniff technology be put to more serious and noble uses? Enter Baltimore Gas and Electric Company. In 1987, the energy company had found the perfect way to educate customers about gas safety. The plan was foolproof—mail out 300,000 brochures with a scratch and sniff panel that would familiarize customers with the distinctive rotten-egg smell of mercaptan. That’s the sulfur compound added to natural gas to make leaks more easily detectable.
The brochures featured a red flame impregnated with scratch and sniff material. “Scratch this flame with your fingernail,” read the mailer. “Sniff it. . . . Let your family sniff it and be sure everyone recognizes the odor.”
The mailers were sent out with the best of intentions, in the pursuit of education and public safety. Unfortunately, the problem soon became apparent. Paper envelopes aren’t exactly hermetically sealed, and the stickers used were simply far too potent. The microencapsulated mercaptan scent was floating out of the envelopes before anyone could even get to the scratching part. Soon, the smell of gas was wafting out of these brochures all across Baltimore.
The result was exactly what you’d expect when 300,000 pieces of mail start simulating gas leaks all over town. Fire departments across the city were fielding a deluge of calls from concerned citizens who thought their houses were about to explode. Many hadn’t opened their mailers—they’d simply detected the smell and rang in the alarm.
The LA Times caught the story, and reported that Baltimore firefighters had responded to “at least half a dozen false alarms.” Officials noted that one call was attended by 27 firefighters and 8 pieces of equipment, all over a poorly-thought-out brochure. “I finally went up to this BG&E bill on the table, and the odor was so strong, you only had to be in the vicinity of it,” fire Capt. Raymond Devilbiss told the LA Times.
Spokesman for Baltimore Gas and Electric Company, John Metzger, would later describe the faux pas as “somewhat of an embarrassment.” The company quickly withdrew the remaining brochures, but the damage was done. They’d successfully demonstrated that their gas detection additive worked perfectly – perhaps a little too perfectly.
Funnily enough, this incident didn’t discourage other utilities from trying the same thing. Promo Printing Group in Florida produces a range of mercaptan scratch and sniff cards for various cities and gas utilities. You can get them from the National Energy Foundation, too. Utilities are still mailing them out, as well, and there’s at some anecdotal evidence on Reddit that this actually helped someone catch a gas leak in their own neighborhood.
The problem in the Baltimore case seems to be that the scratch and sniff stickers were simply too potent, or were otherwise releasing their scent when they shouldn’t have been. The incident serves as a reminder that even the simplest ideas can have unexpected consequences, especially when you’re literally mailing out thousands of artificial gas leaks. It’s a cautionary tale about the importance of exploring all possible failure modes–even the ones that seem absurd at first glance.
In the end, Baltimore Gas and Electric learned a valuable lesson about the potency of microencapsulation technology, and fire departments across Baltimore got some unexpected drill practice. As for the residents? They certainly didn’t forget what a gas leak smells like anytime soon. Indeed, though, the education campaign might have been pointless for some—the false alarm suggests many residents already knew the aroma quite well!
Con Visual Studio Code Puoi scrivere programmi per Commodore 64!
È stato rilasciato ilVS64 v2.5.13. Si tratta di un “change log” che riporta ‘Correzioni di bug e miglioramenti minori’ su l’aggiornamento del RAD più famoso targato Microsoft.
L’estensione VS64 semplifica lo sviluppo di software per C64 utilizzando Visual Studio Code.
Fornisce un supporto approfondito per gli assembler 6502, i compilatori C e C++ e il linguaggio di programmazione BASIC. È dotato di un sistema di progetto e build, compilatori e convertitori per file BASIC e di risorse e si integra bene con tutte le funzionalità avanzate di Visual Studio Code, come il sistema di task e launch, debugging e introspection e supporto per grammatica e semantica del linguaggio.
Questa sarà un’opportunità imperdibile per tutti gli appassionati di tecnologia vintage, in particolare per coloro che sono cresciuti con il leggendario Commodore 64 e il Commodore VIC-20. Questi dispositivi iconici hanno segnato l’inizio del loro viaggio nel mondo della programmazione, grazie al linguaggio BASIC, che ha gettato le basi per molte carriere tecnologiche di oggi.
Oggi, Microsoft Visual Studio rappresenta l’evoluzione del concetto di RAD (Rapid Application Development), offrendo una piattaforma versatile che consente di sviluppare con qualsiasi linguaggio di programmazione.
Questa innovazione, combinata con il fascino nostalgico delle console vintage, promette di conquistare gli appassionati di ieri e di oggi, unendo passato e futuro in un’unica esperienza entusiasmante.
L'articolo Con Visual Studio Code Puoi scrivere programmi per Commodore 64! proviene da il blog della sicurezza informatica.
Oltre l’Underground: Tecnologie e Rotte Segrete del Contrabbando di Persone
Il contrabbando di persone è un’attività criminale che continua a prosperare nell’underground, sfruttando tecnologie avanzate per evitare la rilevazione e garantire comunicazioni sicure.
Recenti informazioni rivelano come i contrabbandieri utilizzino strumenti di crittografia come PGP e piattaforme di messaggistica sicura come Jabber per coordinare le loro operazioni.
Il Reclutamento di Contrabbandieri Esperti
Un recente post su un forum underground, scritto da un utente chiamato “smartcore,” cerca un nuovo “capitano” con esperienza in operazioni di contrabbando. Il post specifica la necessità di trasportare 10-20 persone settimanalmente su brevi distanze, utilizzando probabilmente un sistema aereo. La comunicazione sicura è garantita dall’uso obbligatorio della crittografia PGP, con Jabber come opzione per la messaggistica.
Le rotte più comuni per il contrabbando di persone includono la traversata dal litorale turco alle isole greche.
Nel 2024 circa 24.000 migranti sono stati salvati dalla Turchia mentre tentavano di raggiungere la Grecia. Una volta sbarcati, molti migranti cercano di proseguire il loro viaggio verso l’Europa occidentale attraverso la rotta balcanica, affrontando numerosi ostacoli e pericoli lungo il percorso.
Il conflitto tra Israele e Hamas a Gaza, insieme alle tensioni con Hezbollah in Libano, ha causato un aumento significativo dei movimenti di persone. Questi conflitti hanno portato a una crisi umanitaria, con molte persone costrette a fuggire dalle loro case. Le rotte di contrabbando, come quelle menzionate nel post, potrebbero essere utilizzate per facilitare il movimento di civili che cercano di fuggire dalla guerra.
Tecnologie Utilizzate dai Contrabbandieri e Implicazioni per la Cybersecurity
Le attività criminali nell’underground come il contrabbando di persone sono un problema complesso che sfrutta tecnologie avanzate per operare nell’ombra. La collaborazione internazionale e l’uso di tecnologie avanzate sono essenziali per combattere efficacemente queste attività criminali.
Solo attraverso un impegno congiunto e l’uso di strumenti tecnologici avanzati possiamo sperare di ridurre l’impatto di queste attività criminali.
L'articolo Oltre l’Underground: Tecnologie e Rotte Segrete del Contrabbando di Persone proviene da il blog della sicurezza informatica.
OSHW Battery Tester Aims to Help Tame Lithium Cells
It’s no exaggeration to say that the development of cheap rechargeable lithium-ion batteries has changed the world. Enabling everything from smartphones to electric cars, their ability to pack an incredible amount of energy into a lightweight package has been absolutely transformative over the last several decades. But like all technologies, there are downsides to consider — specifically, the need for careful monitoring during charging and discharging.
As hardware hackers, we naturally want to harness this technology for our own purposes. But many are uncomfortable about dealing with these high-powered batteries, especially when they’ve been salvaged or come from some otherwise questionable origin. Which is precisely what the Smart Multipurpose Battery Tester from [Open Green Energy] is hoping to address.
It can also measure the cell’s internal resistance (IR), which can be a useful metric to compare cell health. Generally speaking, the lower the IR, the better condition the battery is likely to be in. That said, there’s really no magic number you’re looking for — a cell with a high IR could still do useful work in a less demanding application, such as powering a remote sensor.
If you’re not using 18650s, don’t worry. There’s a JST connector on the side of the device where you can connect other types of cells, such as the common “pouch” style batteries.
The open source hardware (OSHW) device is controlled by the Seeed Studio XIAO ESP32S3, which has been combined with the LP4060 charger IC and a AP6685 for battery protection. The user interface is implemented on the common 0.96 inch 128X64 OLED, with three buttons for navigation. The documentation and circuit schematics are particularly nice, and even if you’re not looking to build one of these testers yourself, there’s a good chance you could lift the circuit for a particular sub-system for your own purposes.
Of course, testing and charging these cells is only part of the solution. If you want to safely use lithium-ion batteries in your own home-built devices, there’s a few things you’ll need to learn about. Luckily, [Arya Voronova] has been working on a series of posts that covers how hackers can put this incredible technology to work.
youtube.com/embed/QN8AuUfg2y8?…
Torque Testing 3D Printed Screws
Unless you’ve got a shop with a well-stocked hardware bin, it’s a trip to the hardware store when you need a special screw. But [Sanford Prime] has a different approach: he prints his hardware, at least for non-critical applications. Just how much abuse these plastic screws can withstand was an open question, though, until he did a little torque testing to find out.
To run the experiments, [Sanford]’s first stop was Harbor Freight, where he procured their cheapest digital torque adapter. The test fixture was similarly expedient — just a piece of wood with a hole drilled in it and a wrench holding a nut. The screws were FDM printed in PLA, ten in total, each identical in diameter, length, and thread pitch, but with differing wall thicknesses and gyroid infill percentages. Each was threaded into the captive nut and torqued with a 3/8″ ratchet wrench, with indicated torque at fastener failure recorded.
Perhaps unsurprisingly, overall strength was pretty low, amounting to only 11 inch-pounds (1.24 Nm) at the low end. The thicker the walls and the greater the infill percentage, the stronger the screws tended to be. The failures were almost universally in the threaded part of the fastener, with the exception being at the junction between the head and the shank of one screw. Since the screws were all printed vertically with their heads down on the print bed, all the failures were along the plane of printing. This prompted a separate test with a screw printed horizontally, which survived to a relatively whopping 145 in-lb, which is twice what the best of the other test group could manage.
[Sanford Prime] is careful to note that this is a rough experiment, and the results need to be taken with a large pinch of salt. There are plenty of sources of variability, not least of which is the fact that most of the measured torques were below the specified lower calibrated range for the torque tester used. Still, it’s a useful demonstration of the capabilities of 3D-printed threaded fasteners, and their limitations.
youtube.com/embed/ekDvQsf2DRw?…
Allarme Phishing: File Word Danneggiati Usati per Rubare Credenziali!
Un nuovo attacco phishing sfrutta una funzionalità di recupero di Microsoft Word per aggirare i sistemi di sicurezza, utilizzando documenti Word danneggiati come allegati email. Questi file, appositamente corrotti, riescono a eludere i controlli di sicurezza ma possono essere recuperati con facilità dagli utenti tramite Word, rendendoli uno strumento efficace per i cybercriminali.
Secondo ANY.RUN, gli attaccanti hanno perfezionato una tecnica che unisce astuzia e precisione: i file danneggiati non vengono identificati come pericolosi dagli antivirus, ma appaiono come “puliti” o “non trovati”. Una volta aperti, Word avvisa l’utente che il file contiene contenuti illeggibili e offre un’opzione di recupero. Una volta recuperato, il documento mostra un QR code che, se scansionato, reindirizza l’utente a un sito di phishing che imita una pagina di login di Microsoft, per rubare le credenziali.
Questa campagna, attiva da mesi, si concentra su email mascherate da comunicazioni aziendali di risorse umane o dipartimenti finanziari, con temi allettanti come bonus o benefici per i dipendenti. Gli allegati riportano nomi come:
Annual_Benefits_&_Bonus_for_[name].docxBenefits_&_Bonus_for_[name].docx.binDue_&_Payment_for_[name].docx.bin
Un elemento ricorrente nei file è una stringa codificata in base64, decodificata come “##TEXTNUMRANDOM45##”, che potrebbe essere un identificativo generato casualmente per personalizzare l’attacco.
Il successo di questa tecnica risiede nella sua capacità di sfruttare la curiosità e l’urgenza delle vittime, ma anche nella difficoltà per i sistemi di sicurezza di rilevare minacce che non contengono codice malevolo, bensì si limitano a visualizzare un QR code. Questa strategia ha ottenuto tassi di rilevamento bassissimi su piattaforme come VirusTotal, dove la maggior parte degli antivirus restituisce risultati “clean” per questi file.
L’uso di documenti corrotti rappresenta un’evoluzione rispetto alle classiche campagne phishing. Pur mantenendo obiettivi tradizionali, come il furto di credenziali, introduce un nuovo livello di elusione che rende ancora più difficile il rilevamento automatico. Questo attacco si inserisce in un trend più ampio, che vede crescere l’uso di quishing (phishing tramite QR code) e file manipolati per confondere i sistemi di sicurezza.
Si sottolinea l’importanza di regole semplici ma efficaci per proteggersi: evitare di aprire allegati da mittenti sconosciuti, verificare sempre la legittimità di email sospette e segnalare eventuali anomalie agli amministratori di rete.
Conclusione
Questo attacco dimostra quanto velocemente i criminali informatici possano adattarsi per aggirare anche le tecnologie di sicurezza più avanzate. Un singolo click può aprire le porte a gravi conseguenze, dal furto di dati sensibili alla compromissione delle infrastrutture aziendali. Le soluzioni di sicurezza tecnologiche sono fondamentali per proteggere le infrastrutture, ma senza una consapevolezza adeguata da parte degli utenti, il rischio di compromissione rimane elevato. Unire protezione tecnica e formazione continua è l’unica strategia efficace per fronteggiare le minacce in costante mutamento e ridurre al minimo i rischi.
L'articolo Allarme Phishing: File Word Danneggiati Usati per Rubare Credenziali! proviene da il blog della sicurezza informatica.
Anche i Criminali Informatici sbagliano! Il malware che non funziona scoperto dal CERT-AgID
Le operazioni finalizzate alla diffusione di malware non sempre vengono condotte con la necessaria attenzione. Il CERT-AGID ha già registrato in passato e-mail contenenti malware il cui meccanismo di attivazione si è rivelato difettoso. Questi messaggi presentano allegati pericolosi che, sebbene vengano aperti, non riescono a compromettere i dispositivi delle vittime.
In alcuni casi, questo può essere attribuito a distrazioni da parte degli autori. In altre circostanze, i malfattori non riescono a integrare correttamente i vari strumenti acquistati come MaaS (Malware as a Service), commettendo errori nel collegamento dei diversi componenti, come dimostrato dagli eventi verificatisi di recente.
Nei primi giorni della scorsa settimana, il CERT-AGID ha rilevato una campagna malevola veicolata massivamente tramite email, in cui l’allegato non riusciva ad attivare la catena di compromissione a causa dell’assenza di un elemento indispensabile: una stringa "[strong]FjDyD6U[/strong]" utilizzata come delimitatore per estrarre i byte corretti necessari alla generazione di un nuovo file eseguibile.
In effetti, sebbene varie sandbox online lo identifichino come malevolo, il malware non genera alcun traffico di rete e nessuna sandbox è riuscita a determinare il nome della famiglia di appartenenza. Nel fine settimana, gli autori della campagna hanno rivisto la loro strategia, ripetendo l’attacco con un malware che questa volta funzionava correttamente.
Analisi del binario
Il campione analizzato è un file .NET che include codice opportunamente cifrato con AES. La chiave e l’IV necessari per la decifratura vengono estratti dai byte in sequenza, separati dal delimitatore X8mnGBm come possiamo osservare dalla funzione smethod_0.
Questa volta il delimitatore era presente, il che ha reso relativamente semplice l’estrazione delle informazioni necessarie: chiave, IV e codice da decifrare.
Utilizzando Cyberchef, è stato possibile decifrare agevolmente le stringhe e ottenere l’eseguibile che il loader carica direttamente in memoria, senza lasciare alcuna traccia sul disco.
Il binario ottenuto è un malware già noto: si tratta di AgentTesla, che da oltre due anni si posiziona tra i dieci infostealer più diffusi in Italia.
AgentTesla cambia loader con una certa frequenza e, sebbene solitamente utilizzi codice memorizzato nelle risorse, questa volta è stato osservato un nuovo metodo che impiega tecniche di cifratura avanzate per caricare il payload direttamente in memoria, rendendo più difficile la sua rilevazione e analisi.
L'articolo Anche i Criminali Informatici sbagliano! Il malware che non funziona scoperto dal CERT-AgID proviene da il blog della sicurezza informatica.
Cercasi Dati Dei Medici Italiani per Illeciti! La Domanda e l’Offerta Nelle Underground
Un post recentemente scoperto nel forum underground XSS, noto per la sua connessione con la criminalità informatica, ha messo in luce un esempio lampante del mercato clandestino che coinvolge i dati sensibili. L’annuncio, redatto all’interno del forum in lingua russa, presenta una richiesta urgente da parte di un utente che cerca di acquistare log di accesso a portali di medici italiani, nello specifico per tre domini italiani, utilizzati per la gestione di prescrizioni e altri dati sanitari.
Il post, scritto dall’utente “Nailpower”, offre una ricompensa economica per “log” di accesso singolari che funzionino correttamente, con una condizione chiara: la transazione deve avvenire tramite escrow, un meccanismo di protezione che garantisce la sicurezza del pagamento solo dopo che il prodotto è stato ricevuto.
Questa è una tecnica comune utilizzata nel mercato underground per ridurre i rischi di frode durante lo scambio di informazioni illecite.
Ecco perché la Cyber Threat Intelligence è cruciale: questa disciplina permette di monitorare le fonti underground per ottenere un vantaggio strategico. Seguire il post per questi tre domini ed interagire con i criminali consente di comprendere le motivazioni dietro determinati annunci, offrendo la possibilità di anticipare e mitigare potenziali attacchi informatici.
La Pratica del Mercato Underground
Questo tipo di attività rientra in un ampio fenomeno che coinvolge il traffico di dati rubati e la compravendita di accessi (infostealer) a piattaforme online, che va ben oltre il semplice furto di credenziali. I criminali informatici non solo rubano i dati sensibili da aziende o enti pubblici, ma entrano anche nel mercato illegale richiedendo l’accesso a portali specifici, come nel caso di medici italiani. Questi dati possono includere informazioni personali, numeri di previdenza sociale, ricette mediche e altri dettagli protetti, rendendoli estremamente preziosi per attività fraudolente.
Le transazioni di dati sensibili vengono spesso regolate e negoziate nei forum underground, dove gli utenti, sia venditori che acquirenti, stabiliscono i termini e le condizioni delle operazioni, talvolta con l’ausilio di intermediari che garantiscono la correttezza delle transazioni. Questi ambienti sono anche frequentati da attori statali e gruppi di hacker altamente specializzati, che operano in maniera sistematica per rubare e rivendere dati.
I Dati Dei Medici Italiani: Un Target Prezioso
I medici e gli ospedali sono diventati obiettivi sempre più frequenti per i cybercriminali, che cercano di ottenere accesso a sistemi che archiviano informazioni estremamente sensibili. In Italia, come in molti altri paesi, i sistemi sanitari digitalizzati sono un terreno fertile per il crimine informatico, poiché contengono non solo dati sanitari cruciali, ma anche informazioni finanziarie e assicurative dei pazienti.
L’acquisto e la vendita di accessi a questi portali attraverso forum come XSS non sono solo una pratica criminale, ma anche un settore in continua espansione, che alimenta un vero e proprio mercato parallelo. La connessione tra la criminalità informatica e il settore sanitario rappresenta una minaccia crescente per la privacy dei cittadini e per la sicurezza dei dati sensibili.
Conclusioni
Il mercato illegale che emerge dai forum underground come XSS rivela una realtà preoccupante: la criminalità informatica non si limita al furto di dati, ma regola un intero sistema di scambi illegali di informazioni sensibili. Il caso specifico dei log degli accessi ai portali sanitari italiani è solo un esempio di come i cybercriminali stiano cercando di sfruttare le vulnerabilità per profitto, mettendo a rischio la sicurezza dei cittadini e la privacy delle informazioni personali. È essenziale che le istituzioni e le aziende intensifichino gli sforzi per proteggere i dati sensibili e per combattere con determinazione questo mercato illecito.
L'articolo Cercasi Dati Dei Medici Italiani per Illeciti! La Domanda e l’Offerta Nelle Underground proviene da il blog della sicurezza informatica.
From Cans To Sheet Metal, With Ease
Aluminium drinks cans make a great source of thin sheet metal which can be used for all manner of interesting projects, but it’s safe to say that retrieving a sheet of metal from a can is a hazardous process. Cut fingers and jagged edges are never far away, so [Kevin Cheung]’s work in making an easy can cutter is definitely worth a look.
Taking inspiration from a rotary can opener, he uses a pair of circular blades in an adjustable injection moulded plastic frame. If you’ve used a pipe cutter than maybe you are familiar with the technique, as the blade rotates round the can a few times it slowly scores and cuts through the metal. Doing the job at both ends of the can reveals a tube, which cna be then cut with scissors and flattened to make a rectangular metal sheet. Those edges are probably sharp, but nothing like the jagged finger-cutters you’d get doing the same by hand. The full video can be seen below the break, and the files to 3D print the plastic parts of the cutter can be found at the bottom of a page describing the use of cans to make a shingle roof.
youtube.com/embed/2-qXKC914gM?…
Modular Breadboard Snaps You Into Benchtop Tidiness
Solderless breadboards are a fantastic tool for stirring the creative juices. In a few seconds, you can go from idea to prototype without ever touching the soldering iron. Unfortunately, the downside to this is that projects tend to expand to occupy all the available space on the breadboard, and the bench surrounding the project universally ends up cluttered with power supplies, meters, jumpers, and parts you’ve swapped in and out of the circuit.
In an attempt to tame this runaway mess, [Raph] came up with this neat modular breadboard system. It hearkens back to the all-in-one prototyping systems we greatly coveted when the whole concept of solderless breadboards was new and correspondingly unaffordable. Even today, combination breadboard and power supply systems command a pretty penny, so rolling your own might make good financial sense. [Raph] made his system modular, with 3D-printed frames that lock together using clever dovetail slots. The prototyping area snaps to an instrumentation panel, which includes two different power supplies and a digital volt-amp meter. This helps keep the bench clean since you don’t need to string leads all over the place. The separate bin for organizing jumpers and tidbits that snaps into the frame is a nice touch, too.
Want to roll your own? Not a problem, as [Raph] has thoughtfully made all the build files available. What’s more, they’re parametric so you can customize them to the breadboards you already have. The only suggestion we have would be that making this compatible with [Zack Freedman]’s Gridfinity system might be kind of cool, too.
The Automatic Battery Charger You Never Knew You Needed
When we saw [Max.K]’s automatic NiMh battery charger float past in the Hackaday tips line, it brought to mind a charger that might be automatic in the sense that any modern microcontroller based circuit would be; one which handles all the voltages and currents automatically. The reality is far cooler than that, a single-cell charger in which the automatic part comes in taking empty cells one by one from a hopper on its top surface and depositing them charged in a bin at the bottom.
Inside the case is a PCB with an RP2040 that controls the whole shop as well as the charger circuitry. A motorised cam with a battery shaped insert picks up a cell from the bin and moves it into the charger contacts, before dumping it into the bin when charged. What impresses us it how slick this device is, it feels like a product rather than a project, and really delivers on the promise of 3D printing. We’d want one on our bench, and after watching the video below the break, we think you will too.
youtube.com/embed/S9PUO_Uw158?…
Unique 3D Printer Has a Print Head With a Twist
If you’re used to thinking about 3D printing in Cartesian terms, prepare your brain for a bit of a twist with [Joshua Bird]’s 4-axis 3D printer that’s not quite like anything we’ve ever seen before.
The printer uses a rotary platform as a build plate, and has a linear rail and lead screw just outside the rim of the platform that serves as the Z axis. Where things get really interesting is the assembly that rides on the Z-axis, which [Joshua] calls a “Core R-Theta” mechanism. It’s an apt description, since as in a CoreXY motion system, it uses a pair of stepper motors and a continuous timing belt to achieve two axes of movement. However, rather than two linear axes, the motors can team up to move the whole print arm in and out along the radius of the build platform while also rotating the print head through almost 90 degrees.
The kinematic possibilities with this setup are really interesting. With the print head rotated perpendicular to the bed, it acts like a simple polar printer. But tilting the head allows you to print steep overhangs with no supports. [Joshua] printed a simple propeller as a demo, with the hub printed more or less traditionally while the blades are added with the head at steeper and steeper angles. As you can imagine, slicing is a bit of a mind-bender, and there are some practical problems such as print cooling, which [Joshua] addresses by piping in compressed air. You’ll want to see this in action, so check out the video below.
This is a fantastic bit of work, and hats off to [Joshua] for working through all the complexities to bring us the first really new thing we’ve seen in 3D printing is a long time.
youtube.com/embed/VEgwnhLHy3g?…
Thanks to [Keith Olson], [grythumn], [Hari Wiguna], and [MrSVCD] for the near-simultaneous tips on this one.
A Free Speed Boost For Your Pi 5
The world of the overclocker contains many arcane tweaks to squeeze the last drops of performance from a computer, many of which require expert knowledge to understand. Happily for Raspberry Pi 5 owners the Pi engineers have come up with a set of tweaks you don’t have to be an overclocker to benefit from, working on the DRAM timings to extract a healthy speed boost. Serial Pi hacker [Jeff Geerling] has tested them and thinks they should be good for as much as 20% boost on a stock board. When overclocked to 3.2 GHz, he found an unbelievable 32% increase in performance.
We’re not DRAM experts here at Hackaday, but as we understand it they have been using timings from the Micron data sheets designed to play it safe. In consultation with Micron engineers they were able to use settings designed to be much faster, we gather by monitoring RAM temperature to ensure the chips stay within their parameters. Best of all, there’s no need to get down and dirty with the settings, and they can be available to all with a firmware update. It’s claimed this will help Pi 4 owners to some extent as well as those with a Pi 5, so even slightly older boards get some love. So if you have a Pi 5, don’t wait for the Pi 6, upgrade today, for free!
A Brief History of Calculator Watches
When humans counted on their fingers, everyone had a state-of-the-art (at the time) calculator at all times. But as we got smarter about calculation, we missed that convenience. When slide rules were king, techies were known to carry them around like swords swinging from their belts. These were replaced with electronic calculators, some also swinging from belt loops, but no matter how small they were, they still were not that handy, no pun intended. That changed around 1975. The Time Computer Calculator company produced an amazing calculator watch for Pulsar. At the time, Pulsar was a brand of the Hamilton Watch Company.
There were a few problems. First, the watch was thick. Despite its size, it had tiny keys, so you had to use a little stylus to push the keys — not as handy as you might wish. On top of that, 1975 display technology used power-hungry LEDs. So, the display was prone to turning off quickly, and the batteries died quickly.
Unsurprisingly, Hamilton, in conjunction with Electro/Data, had earlier rolled out the first LED watch in 1972. With an 18-karat gold case, it went for a cool $2,100 — a whole lot of money in 1972. The first calculator watch was also gold and went for almost $4,000. Soon, though, they brought out a stainless and a gold-filled version that came in at under $500.
Hewlett-Packard
For such a hefty price, these calculators didn’t do much. They were generally “four-bangers” with a few extra features, but they were no scientific calculators by any stretch of the imagination. The HP did have time and date calculations and could even use a stopwatch as a data source.
More calculator watches appeared directly from Time Computer Calculator Company and several others, but none were ever more than an expensive novelty. There were a few from companies like Seiko and Citizen. LCD screens would wipe out LEDs in watches, including calculator watches
Some lesser-known companies took their shots. Uranus Electronics was one. Hughes Aircraft also created an LED calculator watch with the name Compuchron.
Citizen had unusual round watches with tiny buttons around the circumference, including some that had scientific functions. These were the first calculator watches to use LCDs.
Seiko’s first entry had truly tiny buttons (see the video below). However, the C-515 had some of the nicest keys of the era, although design-wise, it was a bit blocky.
youtube.com/embed/8eeocDSZ4cY?…
youtube.com/embed/H-xnbrNLj9A?…
The National watch was a big hit in 1977 and a marvel of miniaturization. You can find some very detailed teardown pictures on Wikimedia Commons.
It is hard to say how many of these calculator watches were made and sold. Most are rare, and you would imagine the gold ones were not big production runs. Even the cheaper models seemed more like stunts than mass-market products.
Clearly, there was some demand, but things remained a niche market, and smaller players weeded out quickly. The calculator watch market was relatively sleepy until 1980 when Casio decided to make them.
Casio
The CA-50 was popular, and it appeared, along with the similar CA-53W, in popular movies, including Back to the Future II and III. These had tiny buttons, but you could carefully use them with your fingers. Some models had raised buttons. Others had flat buttons. A few even had a form of touch screen.
There were many variations in the Casio calculator watches. Some could store data like phone numbers and addresses. Others had scientific functions, like the excellent CFX-400 or the less-capable CFX-200. The CMD-40 even had a basic remote control.
The nicer models had metal cases, but many were plastic. There were even some that looked like a normal analog watch, but the top would flip up to reveal the calculator display and keyboard. Tricky to replace the batteries on those as you can see on the video below.
Calculator watches became something of a fad, especially with the pocket-protector crowd. However, like all things, they faded in popularity over time and now most are collector’s items.
youtube.com/embed/yeYmcdH8U7M?…
Today
You can find cheap calculator watches readily on the usual Chinese import sites. Casio still sells some vintage-series calculator watches, and there’s a brisk used market for the watches from any manufacturer. However, outside of the collectible value, most people switched to small calculators, PDAs, and — later — cell phones and smartwatches.
I owned several Casios, including a flip top and the FX-400. I also had the nice boxy Seiko. I don’t think they have made it unless they are hiding in a box somewhere waiting to be rediscovered. Which ones did you have? Do you have them now? Do you ever really use them?
Before you take me to task for not mentioning Sinclair’s wrist calculator, I will point out that it wasn’t really a watch. It was just a calculator that strapped to your wrist.
There have been DIY calculator watches, of course. It would be even easier to produce one today than ever before. It might be fun to grab one of the new ones and give it a brain upgrade. Let us know if you take up the challenge.
Featured image: “Casio Gold Calculator Watch” by [jonrawlinson].
Small Feathers, Big Effects: Reducing Stall Speeds With Strips Of Plastic
Birds have long been our inspiration for flight, and researchers at Princeton University have found a new trick in their arsenal: covert feathers. These small feathers on top of birds’ wings lay flat during normal flight but flare up in turbulence during landing. By attaching flexible plastic strips – “covert flaps” – to the top of a wing, the team has demonstrated impressive gains in aircraft performance at low speeds.
Wind tunnel tests and RC aircraft trials revealed a fascinating two-part mechanism. The front flaps interact with the turbulent shear layer, keeping it close to the wing surface, while the rear flap create a “pressure dam” that prevents high-pressure air from moving forward. The result? Up to 15% increase in lift and 13% reduction in drag at low speeds. Unfortunately the main body of the paper is behind a paywall, but video and abstract is still fascinating.
This innovation could be particularly valuable during takeoff and landing – phases where even a brief stall could spell disaster. The concept shares similarities with leading-edge slats found on STOL aircraft and fighter jets, which help maintain control at high angles of attack. Imitating feathers on aircraft wings can have some interesting applications, like improving control redundancy and efficiency.
youtube.com/embed/dLlJRujBWos?…
Google Play Store: il Cassonetto del Software! 15 App Malevole Rubano i Dati a 8 Milioni di Utenti
Gli analisti di McAfee hanno trovato 15 applicazioni dannose appartenenti alla famiglia SpyLoan nel Google Play Store. In totale, queste applicazioni hanno più di 8 milioni di installazioni e erano rivolte agli utenti del Sud America, del Sud-Est asiatico e dell’Africa. I più popolari sono elencati di seguito.
- Préstamo Seguro-Rápido, Seguro – 1.000.000 di download, principalmente rivolti agli utenti del Messico;
- Préstamo Rápido-Credit Easy – 1.000.000 di download, principalmente destinati alla Colombia;
- ได้บาทง่ายๆ-สินเชื่อด่วน – 1.000.000 di download, destinati agli utenti del Senegal;
- RupiahKilat-Dana cair – 1.000.000 di download, rivolti anche al Senegal;
- ยืมอย่างมีความสุข – เงินกู้ – 1.000.000 di download, destinati agli utenti della Tailandia;
- เงินมีความสุข – สินเชื่อด่วน – 1.000.000 di download, destinati anche alla Thailandia;
- KreditKu-Uang Online – 500.000 download, attacca principalmente utenti in Indonesia;
- Dana Kilat-Pinjaman kecil – 500.000 download, un’altra app destinata principalmente all’Indonesia.
È stato riferito che tutte le applicazioni sono state rimosse da Google Play, ma i ricercatori notano che la loro presenza nello store indica la persistenza dei criminali informatici. Il fatto è che non è la prima volta che tale malware viene scoperto e rimosso dallo store ufficiale.
Ad esempio, alla fine del 2023, gli specialisti di ESET hanno notato su Google Play 18 applicazioni che distribuivano SpyLoan e sono state scaricate più di 12 milioni di volte.
Le app SpyLoan sono apparse nel 2020 e sono solitamente pubblicizzate come strumenti finanziari che offrono agli utenti prestiti con rapida approvazione, ma i termini di tali prestiti sono spesso molto ingannevoli o semplicemente falsi.
Una volta che la vittima installa l’app SpyLoan, gli viene chiesto di completare la verifica utilizzando una password monouso (OTP). In questo modo gli aggressori si assicurano che la vittima si trovi nella regione giusta. All’utente viene quindi chiesto di fornire documenti di identificazione sensibili, informazioni sul datore di lavoro e informazioni bancarie.
Inoltre, le applicazioni SpyLoan richiedono sempre privilegi eccessivi sul dispositivo, tra cui: autorizzazione per utilizzare la fotocamera (apparentemente per caricare foto KYC), accesso al calendario, contatti, SMS, posizione, dati del sensore e così via. Di conseguenza, gli operatori delle app possono rubare dati sensibili dal dispositivo e utilizzarli per ricattare la vittima affinché paghi.
Pertanto, i truffatori possono inaspettatamente ridurre il periodo di rimborso del prestito a diversi giorni (o qualsiasi periodo di tempo arbitrario), minacciare l’utente e chiedere denaro, promettendo altrimenti di divulgare i suoi dati o rivelare segreti.
Cioè, avendo ricevuto un prestito tramite tale applicazione, l’utente non solo deve pagare tassi di interesse elevati, ma è anche soggetto a continue molestie da parte degli operatori SpyLoan che lo ricattano utilizzando informazioni rubate. Inoltre, in alcuni casi, i truffatori contattano anche i familiari e gli amici del mutuatario, minacciando anche loro.
L'articolo Google Play Store: il Cassonetto del Software! 15 App Malevole Rubano i Dati a 8 Milioni di Utenti proviene da il blog della sicurezza informatica.
Exploring the Sounds and Sights Of Alien Worlds
The 20th century saw humankind’s first careful steps outside of the biosphere in which our species has evolved. Whereas before humans had experienced the bitter cold of high altitudes, the crushing pressures in Earth’s oceans, as well as the various soundscapes and vistas offered in Earth’s biosphere, beyond Earth’s atmosphere we encountered something completely new. Departing Earth’s gravitational embrace, the first humans who ventured into space could see the glowing biosphere superimposed against the seemingly black void of space, in which stars, planets and more would only appear when blending out the intense light from the Earth and its life-giving Sun.
Years later, the first humans to set foot on the Moon experienced again something unlike anything anyone has experienced since. Walking around on the lunar regolith in almost complete vacuum and with very low gravity compared to Earth, it was both strangely familiar and hauntingly alien. Although humans haven’t set foot on Mars yet, we have done the next best thing, with a range of robotic explorers with cameras and microphones to record the experience for us here back on Earth.
Unlike the Moon, Mars has a thin but very real atmosphere which permits the travel of soundwaves, so what does the planet sound like? Despite what fictional stories like Weir’s The Martian like to claim, reality is in fact stranger than fiction, with for example a 2024 research article by Martin Gillier et al. as published in JGR Planets finding highly variable acoustics during Mars’ seasons. How much of what we consider to be ‘normal’ is just Earth’s normal?
Spherical Astronauts On Mars
A major limitation with experiencing extraterrestrial worlds is of course that even if we could easily zip over to the more distant ones in a faster-than-light spacecraft, our bodies have evolved within the confines of the Earth’s biosphere and explicitly just the biosphere as it has existed only relatively recently, geologically speaking. Even the atmospheric conditions of the Earth’s Cambrian period would be lethal to humans, with virtually no oxygen to breathe. It’s highly unlikely that we will find any planets out there that are at least as friendly to human life as the Cambrian period would be to our astronauts, so our experience of alien worlds will most assuredly not match those of the average Star Trek episode.
But assume, if you will, that our perfectly spherical, friction-less astronauts are as impervious to cold, heat and radiation as the intrepid robotic explorers which currently peruse the surface of Mars or which have in the past prodded the Venusian atmosphere and its surface. If stepping outside the lander in this ideal scenario, what can our robotic friends tell us about what walking on Mars would be like?
With Mars much further away from the Sun, its light is dimmer, though still bright enough to make out the rocky reddish, brown, greenish and tan coloring. Most steps that you take will leave behind a footprint, albeit not as deep as on Earth due to Mars gravity of only about 0.38 g, or roughly a third of Earth’s. This does preclude the option of bunny hopping across the surface as on the Moon with its 0.165 g.
Mars’ atmosphere is quite thin, also on account of the planet having lost its magnetosphere a long time ago, exposing the atmosphere to the solar winds as they rip and tear away at it. With an atmospheric density of at most 1,150 Pa (on the Hellas Planitia plain) it’s akin to being on Earth at an altitude of 35 km, or well above the average commercial jetliner’s cruising altitude of below 12 km. Even so, sounds are audible, albeit attenuated courtesy of the 96% CO2 content of the Martian atmosphere. This makes everything sound muted and quite different from what we are used to on Earth.
Whether you stand still and take in the vista surrounding you, or move around, you can hear something like what the Perseverance rover recorded using its twin microphones:
youtube.com/embed/GHenFGnixzU?…
Perseverance also captured the noise of the Ingenuity helicopter as it flew near the rover at a distance of 80 meters, all of which provided researchers with invaluable data on how sound propagates on Mars. In the earlier referenced paper by Martin Gillier et al. the attenuation is calculated to be 500 times higher for low frequencies and 10 times higher at high frequencies as in Earth’s atmosphere at sea level.
Meanwhile the speed of sound on Mars on its surface varies as the CO2 in the atmosphere increases or decreases with the seasons, especially near the poles where carbon dioxide ice is known to exist. Compared to the speed of sound in Earth’s atmosphere of 343 m/s, on Mars you can expect around 252 m/s, although this will differ wildly per season and at which altitude you are.
As glorified in The Martian and other works of fiction Mars may be, the experience of walking around on its surface would be mostly one of eerie disconnect due to the lower gravity and the muffled sounds including those made by one’s own boots. Assuming that the radiation blasting the Martian surface and intense temperature swings are no concern, this might yet be the perfect vacation spot for some astronauts.
From Venus With Love
The Soviet Venera 13 and 14 missions featured the first landers to Venus that were equipped with microphones. These were active during their final descent, as well as the workings of the pyrotechnics and surface drill, prior to the quiet observation of the lander with its scientific instruments. Below is embedded part of the audio from the Venera 14 mission (also on Archive.org).
hackaday.com/wp-content/upload…
Based on these audio recordings, the wind speed on Venus’ surface was calculated to be on average 0.3 and 0.5 m/s, which doesn’t seem much until you realize that this is with a pressure of around 9.5 MPa (94 times Earth’s atmosphere) and a temperature of 465 ℃. These findings were covered in a 1982 paper by L. V. Ksanfomaliti et al. (PDF) as submitted to Soviet Astronomy Letters.
The effect for our theoretical astronaut would be akin to being crushed and burned at the same time, while the thick, mostly CO2-based atmosphere slowly churns past.
It is for this reason that our less-invincible astronauts would remain in the Venusian atmosphere at a more agreeable pressure and temperature level. In such a floating colony the experience would be much more akin to being on Earth at ground level, if you excuse the sulfuric rain droplets, of course.
Welcome To Europa
So far our photographic and auditory collection of extraterrestrial planets is still rather limited, with Mars and Venus being the two primary examples where we have collected both types of recordings on their respective surfaces. However, depending on how things work out, we may soon be adding Jupiter’s moon Europa to this list. This is perhaps the most intriguing target in our solar system which we have not visited yet in any significant detail, despite it being assumed to be a water ice-covered moon that is slightly smaller than Earth’s Moon, with potentially liquid water below the ice.
Recently the Europa Clipper spacecraft was launched on its multi-year mission for a rendezvous with Europa by April 2030. One of its mission goals at Europa is to determine a suitable landing site for the proposed Europa Lander, which – if funded – would land on Europa in the 2030s where it would be able to examine and image the surface. Sadly Europa does not have much of at atmosphere, much like Earth’s Moon, but it might make for a fascinating place to do some ice skating for our radiation-proof astronauts. If there is a liquid ocean underneath the ice as suspected, then deep-sea diving on Europa is definitely also on the menu, barring any scary oceanic lifeforms in said oceans.
Beyond these places in our solar system the sounds and sights become sadly a bit murky. Mercury is a Sun-blasted rock, while Pluto is a darkness-shrouded rock, and all of Jupiter, Saturn, Neptune and Uranus are gas giants. Beyond perhaps a couple of the more interesting moons surrounding these gas giants we will have to look beyond this solar system to find more interesting extraterrestrial sights and sounds. Fortunately for this we will only have to send out our faster-than-light spacecraft into deep space, as there are still billions upon billions of star systems to examine and places to experience. Makes you realize how good we’ve got it here on earth.
Building Experience and Circuits for Lithium Capacitors
For the cautious, a good piece of advice is to always wait to buy a new product until after the first model year, whether its cars or consumer electronics or any other major purchase. This gives the manufacturer a year to iron out the kinks and get everything ship shape the second time around. But not everyone is willing to wait on new tech. [Berto] has been interested in lithium capacitors, a fairly new type of super capacitor, and being unwilling to wait on support circuitry schematics to magically show up on the Internet he set about making his own.
The circuit he’s building here is a solar charger for the super capacitor. Being a fairly small device there’s not a lot of current, voltage, or energy, but these are different enough from other types of energy storage devices that it was worth taking a close look and designing something custom. An HT7533 is used for voltage regulation with a Schottky diode preventing return current to the solar cell, and a DW01 circuit is used to make sure that the capacitor doesn’t overcharge.
While the DW01 is made specifically for lithium ion batteries, [Berto] found that it was fairly suitable for this new type of capacitor as well. The capacitor itself is suited for many low-power, embedded applications where a battery might add complexity. Capacitors like this can charge much more rapidly and behave generally more linearly than their chemical cousins, and they aren’t limited to small applications either. For example, this RC plane was converted to run with super capacitors.
ChatGPT è stato Hackerato? Va In Crash All’inserimento Della Parola David Mayer!
Un membro di Red Hot Cyber, Agostino pellegrino, ci porta all’attenzione un comportamento molto strano di Chat-GPT, il modello linguistico di OpenAI. Il modello va costantemente in crash quando viene inserito un nome di una persona all’interno del prompt.
Tale crash si verifica ogni volta che viene digitato il nome di “David Mayer”, indipendentemente dal tipo di prompt utilizzato. Questo problema potrebbe far pensare a dei segnali di compromissione del LLM portando a sospetti che qualcosa stia alterando il normale processo di risposta.
Il comportamento anomalo riscontrato
Agostino ha segnalato che una volta inserito il nome di una persona in una richiesta a ChatGPT, il sistema si blocca o va in crash. Questo malfunzionamento non sembra essere limitato a singoli utenti, ma si presenta a chiunque tenti di utilizzare il modello. Questo avviene indipendentemente dal contesto o dalla natura della domanda.
I test condotti su più prompt e su diversi dispositivi confermano che il problema è replicabile, suggerendo che non si tratti di un errore casuale. Potrebbe trattarsi di un difetto intrinseco nel sistema ed avviene anche con particolari “escape”.
Cosa Potrebbe Essere Accaduto?
Ci potrebbero essere svariate motivazioni relativamente a questo comportamento anomalo che possono essere:
- Hacking del modello: Attività malevola che ha fornito input al modello per evitare di elaborare richieste per specifiche di testo. Potrebbe trattarsi di un attacco di avvelenamento dei dati e dei dataset.
- Filtro o Censura: Un’altra possibilità è che il nome in questione venga erroneamente trattato come un termine sensibile o inappropriato. Questi filtri sono progettati per prevenire l’uso improprio del sistema, ma talvolta possono generare risultati indesiderati.
- Problemi Legati al Training del Modello: Un’altra ipotesi è che il modello sia stato addestrato su dati che includono problematiche relative a quel nome specifico. In tal caso, il modello potrebbe incorrere in conflitti durante la generazione di risposte, causando crash o interruzioni. Potrebbe trattarsi di un risultato di un training impreciso, dove la presenza di certe informazioni porta a un comportamento anomalo.
- Problema con le Risorse di Sistema: In alcuni casi, l’inserimento di determinati input può comportare un utilizzo eccessivo delle risorse di calcolo, come la memoria o la CPU. Se il nome richiama una serie complessa di calcoli o riferimenti, potrebbe essere la causa del crash. Questo potrebbe essere dovuto a un problema di ottimizzazione del codice che non gestisce correttamente grandi quantità di dati associati a determinati input.
- Infiltrazione di Malicious Input: Sebbene meno probabile, c’è anche la possibilità che il nome inserito sia stato utilizzato per testare vulnerabilità nel sistema da parte di attaccanti. Un nome specifico potrebbe essere parte di un tentativo di exploit che mira a far fallire il sistema, anche se al momento non ci sono prove concrete a supporto di questa teoria.
Conclusioni
Il malfunzionamento rilevato con ChatGPT, legato all’inserimento di un nome specifico, solleva diverse ipotesi riguardo le cause di questo comportamento. Sebbene non sia chiaro se si tratti di un bug tecnico, un filtro mal configurato o un problema legato al training del modello, è evidente che il problema merita attenzione. OpenAI dovrà approfondire l’indagine su questo caso per garantire che il modello funzioni correttamente senza compromettere l’affidabilità e la sicurezza del sistema. Finché la causa non sarà chiarita, gli utenti potrebbero trovarsi di fronte a comportamenti imprevisti, e l’esperienza con ChatGPT potrebbe risentirne.
Chi è David Mayer?
Andando a ricercare su Wikipedia, David Mayer è un membro della famiglia Rothschild , il più giovane dei tre figli di Victoria Lou Schott (1949 – 18 gennaio 2021) e Sir Evelyn de Rothschild (1931–2022) della famiglia di banchieri Rothschild d’Inghilterra .
Il suo secondo nome “Mayer” deriva dal nome del fondatore dell’impero bancario della famiglia Rothschild , Mayer Amschel Rothschild . Il più giovane erede della fortuna bancaria della sua famiglia, Rothschild è nato nel 1978 a Londra, Inghilterra. Sua madre era americana, figlia di Marcia Lou (nata Whitney) e dello sviluppatore immobiliare Lewis M. Schott. È il fratello minore di Anthony de Rothschild e Jessica de Rothschild.
Da adolescente, Rothschild era un saltatore di cavalli di alto livello nella squadra juniores britannica. In seguito abbandonò lo sport per proseguire gli studi, affermando in un’intervista al The New Yorker “Ho capito che nella vita c’era di più che passare ore e ore e ore su un cavallo”. Dopo aver lasciato la Harrow School nel 1996, frequentò l’Oxford Brookes, dove ottenne una laurea triennale (con lode) in Scienze politiche e Sistemi informativi . Nel 2002, Rothschild studiò al College of Naturopathic Medicine di Londra, dove ricevette un diploma avanzato in Medicina naturale, ND.
L'articolo ChatGPT è stato Hackerato? Va In Crash All’inserimento Della Parola David Mayer! proviene da il blog della sicurezza informatica.
Horns&Hooves campaign delivers NetSupport RAT and BurnsRAT
Recent months have seen a surge in mailings with lookalike email attachments in the form of a ZIP archive containing JScript scripts. The script files – disguised as requests and bids from potential customers or partners – bear names such as “Запрос цены и предложения от Индивидуального предпринимателя <ФИО> на август 2024. АРТ-КП0005272381.js” (Request for price and proposal from sole trader <name> for August 2024. ART-KP0005272381.js), “Запрос предложений и цен от общества с ограниченной ответственностью <предприятие> на сентябрь 2024. отэк-мн0008522309.js” (Request for proposals and prices from LLC <company> for September 2024. Otek-mn0008522309.js), and the like.
Examples of malicious emails
According to our telemetry, the campaign began around March 2023 and hit more than a thousand private users, retailers and service businesses located primarily in Russia. We dubbed this campaign Horns&Hooves, after a fictitious organization set up by swindlers in the Soviet comedy novel The Golden Calf.
Statistics
Number of users who encountered the malicious script, by month, March 2023 — September 2024 (download)
Malicious scripts
During the campaign, the threat actors made some major changes to the script, while keeping the same distribution method. In almost all cases, a JS script named “Заявка на закупку…” (“Purchase request…”), “Запрос цен…” (“Request for quote…”), or similar was sent in a ZIP archive. Far more rarely, the scripts were called “Акт сверки…” (“Reconciliation statement…”), “Заявление на возврат…” (“Request for refund…”), “Досудебная претензия…” (“Letter of claim…”) or just “Претензия…” (“Claim…”). The earliest versions that we encountered in April and May used scripts with the HTA extension instead of JS scripts.
For believability, besides the script, the attackers sometimes added to the archive various documents related to the organization or individual being impersonated. For example, an archive attached to a booking cancellation email contained a PDF file with a copy of a passport; while price request emails had extracts from the Russian Unified State Register of Legal Entities, certificates of tax registration and company cards in attachment. Below, we examine several versions of the scripts used in this campaign.
Typical archive contents
Version A (HTA)
Some of the first sample scripts we saw in April and early May 2023 were relatively small in size. As an example, we analyzed a sample with the MD5 hash sum 327a1f32572b4606ae19085769042e51.
First version of the malicious script in attachment
When run, the script downloads a decoy document from linkpicture[.]com/q/1_1657.png in the form of a PNG image, which it then shows to the user. In this case, the image looks like a screenshot of a table listing items for purchase. It may have been taken from a previously infected machine.
Decoy document in PNG format
Note that PNG decoy documents are rather unconventional. Usually, bids and requests that are used to distract user attention from malware are distributed in office formats such as DOCX, XSLX, PDF and others. The most likely reason for using PNG is that in the very first versions the attackers hid the payload at the end of the bait file. PNG images make convenient containers because they continue to display correctly even after the payload is added.
To download the decoy document, the attackers use the curl utility, which comes preinstalled on devices with Windows 10 (build 17063 and higher). Together with the document, using another built-in Windows utility, bitsadmin, the script downloads and runs the BAT file bat_install.bat to install the main payload. The script also makes use of bitsadmin for managing file transfer tasks.
Snippet of the BAT script that installs the payload
Using bitsadmin, the BAT script first downloads from the attackers’ address hxxps://golden-scalen[.]com/files/, and then installs, the following files:
| File name | Description |
| AudioCapture.dll | NetSupport Audio Capture |
| client32.exe | NetSupport client named CrossTec |
| client32.ini | Configuration file |
| HTCTL32.DLL | NetSupport utility for HTTP data transfer |
| msvcr100.dll | Microsoft C runtime library |
| nskbfltr.inf | Windows Driver Frameworks configuration file for installing additional drivers |
| NSM.LIC | NetSupport license file |
| nsm_vpro.ini | Additional NSM settings |
| pcicapi.dll | pcicapi file from the NetSupport Manager package |
| PCICHEK.DLL | CrossTec VueAlert PCIChek |
| PCICL32.DLL | NetSupport client as a DLL |
| remcmdstub.exe | CrossTec remote command line |
| TCCTL32.DLL | NetSupport utility for TCP data transfer |
To download the required file, bat_install.bat appends its name to the end of the URL. The script saves the downloaded files to the user directory %APPDATA%\VCRuntineSync.
The payload is the legitimate NetSupport Manager (NSM) tool for remote PC management. This software is often used in corporate environments for technical support, employee training and workstation management. However, due to its capabilities, it is regularly exploited by all kinds of cybergangs. The versions and modifications of this software seen in cyberattacks and providing a stealth run mode have been dubbed NetSupport RAT.
Most often, NetSupport RAT infiltrates the system through scam websites and fake browser updates. In December 2023, we posted a report on one such campaign that installed NetSupport RAT under the guise of a browser update after the user visited a compromised website.
After the file download, the bat_install.bat script runs the client32.exe file and adds it to the startup list.
start /B cmd /C "start client32.exe & exit"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v
"VCRuntineSync" /t REG_SZ /d '%APPDATA%\VCRuntineSync\client32.exe' /f
And, in case the HTA script failed, the BAT script attempts to download and run the bait file.
When NetSupport RAT is run, it establishes a connection to one of the attackers’ servers set in the client32.ini configuration file: the main one, xoomep1[.]com:1935, or the backup one, xoomep2[.]com:1935.
The client32.ini configuration file
Version A infection chain
Version B (JS + NSM)
A bit later, in mid-May 2023, there appeared versions of the script mimicking legitimate JS files.
JS version of the malicious script in attachment
The code of this script contains a comment from the publicly available JavaScript library Next.js with license and copyright information. This way, the attackers try to make the code appear legitimate. We also see how they added malicious code to the middle of the file that a cursory inspection would miss, but still got executed at runtime.
In terms of functionality, the JS versions of the script are virtually the same as the HTA ones. They too show a decoy document and install NetSupport RAT. But there are some differences. For example, the script with the hash sum b3bde532cfbb95c567c069ca5f90652c, which we found under the filename ” досудебная претензия от 18.05.2023 №5 от компании ооо <НАЗВАНИЕ_КОМПАНИИ>.js ” (“Letter of claim No. 5, dated May 18, 2023, from LLC <company>.js”), first downloads an intermediate JS script from the address hxxp://188[.]227[.]58[.]243/pretencia/www.php.
Second script contents
This second script downloads two more files: the decoy document zayavka.txt and the NetSupport RAT installer installer_bat_vbs.bat. Like PNG images, decoy documents in TXT format are not standard practice. And with this version, the files contain generated text in Russian that is meaningless and repeated several times, using different characters that look vaguely Cyrillic. They would appear to be the first tests of the new bait file format.
Decoy document with meaningless text
After downloading the files, the www.php script opens the text document and runs the NetSupport RAT installer, which it saves with the name BLD.bat. To download the NetSupport components, the script uses the same path as version A: hxxps://golden-scalen[.]com/files/. Unlike the previous version, this script downloads the files to the %APPDATA%\EdgeCriticalUpdateService directory. Correspondingly, the autorun registry key used by this version is named EdgeCriticalUpdateService. Also, the BLD.bat file contains no redundant code for re-downloading the bait file.
Version B infection chain
Version C (JS + BurnsRAT)
Another interesting sample we found in mid-May had the name ” заявка на закупки №113 от компании <НАЗВАНИЕ_КОМПАНИИ> на май 2023 года.js ” (“procurement request No. 113 from <company> for May 2023.js”) and the MD5 hash sum 5f4284115ab9641f1532bb64b650aad6.
Fully obfuscated version of the malicious script
Here, we also see a comment with license and copyright information about the Next.js library, but there is nothing left of the library source code. The malicious code itself is more heavily obfuscated, and the link to the intermediate script hxxp://188[.]227[.]106[.]124/test/js/www.php is invisible to the naked eye.
Second script contents
In this version, the intermediate script downloads three more files: the decoy document zayavka.txt, the payload BLD.exe, and the auxiliary script 1.js. The decoy document in this instance looks more meaningful, and is likely the result of a screenshot-to-text conversion.
Decoy document
Having loaded the files, the www.php script opens the decoy document and runs the 1.js file, which in turn launches the BLD.exe file.
What’s most striking about this instance is the payload.
BLD.exe (MD5: 20014b80a139ed256621b9c0ac4d7076) is an NSIS installer that creates a Silverlight.7z archive in the %PROGRAMDATA%\Usoris\LastVersion folder and extracts several files from it:
| File name | Description |
| libeay32.dll | OpenSSL shared library |
| msimg32.dll | Malicious loader |
| settings.dat | RMS configuration file |
| Silverlight.Configuration.exe | Legitimate Microsoft Silverlight Configuration Utility |
| ssleay32.dll | OpenSSL shared library |
| w32.dat | Archive with RDP Wrapper x32 |
| w64.dat | Archive with RDP Wrapper x64 |
| WUDFHost.exe | Remote Manipulator System |
The next step is to run the legitimate Silverlight.Configuration.exe file. When launched, it loads the dynamic libraries (DLLs) that the program needs, using a relative path. This opens the door to a DLL side-loading attack: the malicious msimg32.dll library and the utility are placed in the same directory, which results in the malicious program being loaded and gaining control instead of the system library. Although the backdoor supports commands for remotely downloading and running files, as well as various methods of executing commands via the Windows command line, the main task of this component is to start the Remote Manipulator System (RMS) as a service and send the RMS session ID to the attackers’ server.
svchost.exe -k "WUDFHostController" -svcr "WUDFHost.exe"
On top of that, msimg32.dll sends information about the computer to the server hxxp://193[.]42[.]32[.]138/api/.
Outgoing request to the server
The sent data is encrypted using the RC4 algorithm with the Host value as the key, which in this case is the IP address of the server, 193.42.32[.]138.
System information sent by the library
RMS is an application that allows users to interact with remote systems over a network. It provides the ability to manage the desktop, execute commands, transfer files and exchange data between devices located in different geographic locations. Typically, RMS uses encryption technologies to protect data and can run on a variety of operating systems. The RMS build distributed by the attackers is also called BurnsRAT.
RMS has support for connecting to a remote computer via Remote Desktop Protocol (RDP), so besides the application itself and files for running it, the NSIS installer saves to the device the w32.dat and w64.dat archives, which contain a set of libraries created using RDP Wrapper to activate additional RDP features.
RDP Wrapper is a program for activating remote desktop features in Windows versions that do not support them by default, such as Windows Home; it also allows multiple users to connect to one system simultaneously.
At its core, RMS is a close analog of NetSupport, but the RMS payload did not gain traction.
BurnsRAT infection chain
Version D (JS + Hosted NSM ZIP)
A few more characteristic changes in the scripts caught our eye in late May 2023. Let’s examine them using a file named “purchase request from LLC <company> No. 3.js” with hash sum 63647520b36144e31fb8ad7dd10e3d21 as an example. The initial script itself is very similar to version B and differs only in the link to the second script, hxxp://45[.]133[.]16[.]135/zayavka/www.php. But unlike version B, the BAT file for installing NetSupport RAT has been completely rewritten.
BAT script contents
In this version, it is located at hxxp://45[.]133[.]16[.]135/zayavka/666.bat, and to install NetSupport it downloads an intermediate PowerShell script hxxp://45[.]133[.]16[.]135/zayavka/1.yay, which in turn downloads and unpacks the NetSupport RAT archive from hxxp://golden-scalen[.]com/ngg_cl.zip. The contents of the archive are identical in every way to the NetSupport version installed by the version B script.
PowerShell script contents
Version D infection chain
Version E (JS + Embedded NSM ZIP)
The next notable, but less fundamental changes appeared in June 2023. Instead of downloading the encoded ZIP archive with NetSupport RAT, the attackers began placing it inside the script. This caused the script to increase in size. In addition, the comment in the file header was replaced with one from the Backbone.js library.
Snippet of the third version of the script
Starting around September 2023, the NetSupport RAT files were split into two archives; and since February 2024, instead of text bait files, the attackers have been striving for greater plausibility by using PDF documents which were also contained in the script code.
Version E decoy document
Version E infection chain
Attribution
All NetSupport RAT builds detected in the campaign contained one of three license files with the following parameters:
| File 1 | licensee=HANEYMANEY serial_no=NSM385736 |
| File 2 | licensee=DCVTTTUUEEW23 serial_no=NSM896597 |
| File 3 | licensee=DERTERT serial_no=NSM386098 |
License files
These license files were also used in various other unrelated campaigns. For instance, they’ve been seen in mailings targeting users from other countries, such as Germany. And they’ve cropped up in NetSupport RAT builds linked to the TA569 group (also known as Mustard Tempest or Gold Prelude). Note that licenses belonging to HANEYMANEY and DCVTTTUUEEW23 featured in the Horns&Hooves campaign for a short span before being completely dislodged by a license issued in the name of DERTERT three months later.
| HANEYMANEY | DCVTTTUUEEW23 | DERTERT | |
| Date of creation in the comment in the file | 2022.07.17 | 2014.03.29 | 2017.07.26 |
| Date from the file attributes in the archive | 2022.07.17 | 2023.03.29 | 2022.07.26 |
| Observed as part of the campaign | 2023.04.17 | 2023.05.28 | 2023.07.09 |
The fact that Horns&Hooves uses the same licenses as TA569 led us to suspect a possible connection between the two. That said, because license files alone are insufficient to attribute malicious activity to TA569, we decided to look for other similarities. And so we compared the various configuration files that featured in the Horns&Hooves campaign and those used by TA569 – and found them to be near identical. As an example, let’s consider the Horns&Hooves configuration file (edfb8d26fa34436f2e92d5be1cb5901b) and the known configuration file of the TA569 group (67677c815070ca2e3ebd57a6adb58d2e).
Comparing the Horns&Hooves and TA569 configuration files
As we can see, everything matches except the domains and ports. The Gateway Security Key (GSK) field warrants special attention. The fact that the values match indicates that the attackers use the same security key to access the NetSupport client. And this means that the C2 operators in both cases most likely belong to TA569.
We checked if the key GSK=GF<MABEF9G?ABBEDHG:H had been seen in other campaigns that could not be attributed to either Horns&Hooves or TA569, and found none. Besides this key, we encountered another value in the Horns&Hooves campaign, GSK=FM:N?JDC9A=DAEFG9H<L>M; and in later versions there appeared one more version of the key, which was set with the parameter SecurityKey2=dgAAAI4dtZzXVyBIGlsJn859nBYA.
What happens after RMS or NetSupport RAT is installed
The installation of BurnsRAT or NetSupport RAT is only an intermediate link in the attack chain, giving remote access to the computer. In a number of cases, we observed attempts to use NetSupport RAT to install stealers such as Rhadamanthys and Meduza. However, TA569 generally sells access to infected computers to other groups, for example, to install ransomware Trojans.
But it’s possible that the attackers may collect various documents and email addresses to further develop the campaign, since the earliest scripts distributed Rhadamanthys instead of NetSupport RAT.
Takeaways
This post has looked in detail at several ways of delivering and using legitimate software for malicious purposes as part of a sustained campaign. Over the course of the campaign, the attackers changed some of their tactics and experimented with new tools. For instance, they gradually moved away from using additional servers to deliver the payload, leaving only two as a result, which the remote administration software itself uses. Also, the attackers initially weaponized BurnsRAT, but then abandoned it and placed all the program code for installing and running NetSupport RAT in a single script. They probably found this approach more efficient in terms of both development and difficulty of detection.
We were able to determine with a high degree of certainty that the campaign is linked to the TA569 group, which gains access to organizations and then sells it to other cybercriminals on the dark web. Depending on whose hands this access falls into, the consequences for victim companies can range from data theft to encryption and damage to systems. We also observed attempts to install stealers on some infected machines.
Indicators of compromise
Malicious file hashes
Version A
327a1f32572b4606ae19085769042e51 — HTA
34eb579dc89e1dc0507ad646a8dce8be — bat_install.bat
Version B
b3bde532cfbb95c567c069ca5f90652c — JS
29362dcdb6c57dde0c112e25c9706dcf — www.php
882f2de65605dd90ee17fb65a01fe2c7 — installet_bat_vbs.bat
Version C
5f4284115ab9641f1532bb64b650aad6 — JS
0fea857a35b972899e8f1f60ee58e450 — www.php
20014b80a139ed256621b9c0ac4d7076 — BLD.exe
7f0ee078c8902f12d6d9e300dabf6aed — 1.js
Version D
63647520b36144e31fb8ad7dd10e3d21 — JS
8096e00aa7877b863ef5a437f55c8277 — www.php
12ab1bc0989b32c55743df9b8c46af5a — 666.bat
50dc5faa02227c0aefa8b54c8e5b2b0d — 1.yay
e760a5ce807c756451072376f88760d7 — ngg_cl.zip
Version E
b03c67239e1e774077995bac331a8950 — 2023.07
ba69cc9f087411995c64ca0d96da7b69 — 2023.09
051552b4da740a3af5bd5643b1dc239a — 2024.02
BurnsRAT C&C
hxxp://193[.]42[.]32[.]138/api/
hxxp://87[.]251[.]67[.]51/api/
Links, version A
hxxp://31[.]44[.]4[.]40/test/bat_install.bat
hxxps://golden-scalen[.]com/files/*
Links, version B
hxxp://188[.]227[.]58[.]243/pretencia/www.php
hxxp://188[.]227[.]58[.]243/zayavka/www.php
hxxp://188[.]227[.]58[.]243/pretencia/installet_bat_vbs.bat
hxxps://golden-scalen[.]com/files/*
Links, version C
hxxp://188[.]227[.]106[.]124/test/js/www.php
hxxp://188[.]227[.]106[.]124/test/js/BLD.exe
hxxp://188[.]227[.]106[.]124/test/js/1.js
Links, version D
hxxp://45[.]133[.]16[.]135/zayavka/www.php
hxxp://45[.]133[.]16[.]135/zayavka/666.bat
hxxp://45[.]133[.]16[.]135/zayavka/1.yay
hxxp://golden-scalen[.]com/ngg_cl.zip
Client32.ini for Horns&Hooves
edfb8d26fa34436f2e92d5be1cb5901b
3e86f6fc7ed037f3c9560cc59aa7aacc
ae4d6812f5638d95a82b3fa3d4f92861
Client32.ini known to belong to TA569
67677c815070ca2e3ebd57a6adb58d2e
Nsm.lic
17a78f50e32679f228c43823faabedfd — DERTERT
b9956282a0fed076ed083892e498ac69 — DCVTTTUUEEW23
1b41e64c60ca9dfadeb063cd822ab089 — HANEYMANEY
NetSupport RAT C2 centers for Horns&Hooves
xoomep1[.]com
xoomep2[.]com
labudanka1[.]com
labudanka2[.]com
gribidi1[.]com
gribidi2[.]com
C2 centers known to be linked to TA569
shetrn1[.]com
shetrn2[.]com
securelist.com/horns-n-hooves-…
Zero-Day For Sale! n4pster mette in vendita una RCE su Control-WebPanel (CWP)
Un attore di minacce, noto come “n4pster“, ha recentemente pubblicato un annuncio sul forum Underground Exploit per la vendita di exploit zero-day, prendendo di mira Control-WebPanel (CWP), il sistema operativo Uniview DVR e il sistema operativo Raisecom Router.
Questi exploit offrono capacità di esecuzione di codice remoto (RCE) in pre-autenticazione, consentendo agli attaccanti di ottenere l’accesso root ai sistemi vulnerabili. I prezzi richiesti per questi exploit variano da $45,000 a $150,000, a seconda del sistema di destinazione.
Motivazioni dell’Attore di Minacce
L’attore di minacce è motivato dal guadagno finanziario attraverso la vendita di exploit zero-day e la potenziale collaborazione su altre vulnerabilità non divulgate. Questo approccio strategico indica una sofisticata comprensione del mercato cybercriminale e un intento chiaro di monetizzare le vulnerabilità scoperte.
Tecnologie e Settori Mirati
Sebbene il post non specifichi settori particolari, le tecnologie prese di mira suggeriscono potenziali impatti su infrastrutture IT, sorveglianza e telecomunicazioni. Le organizzazioni che utilizzano Control-WebPanel, Uniview DVR OS e Raisecom Router OS sono particolarmente a rischio, con milioni di istanze vulnerabili esposte online.
Dettagli degli Exploit
- Control-WebPanel (CWP): RCE (senza autenticazione) per root – Prezzo richiesto: $150,000
- Uniview DVR OS: RCE (senza autenticazione) per root – Prezzo richiesto: $80,000
- Raisecom Router OS: RCE (senza autenticazione) per root – Prezzo richiesto: $45,000
N4pster afferma che queste vulnerabilità sono state sviluppate di recente, testate e non vendute, suggerendo che sono sconosciute alle aziende interessate e alla comunità di cybersecurity più ampia. Inoltre, n4pster è aperto a collaborazioni su altre vulnerabilità zero-day non divulgate, indicando un approccio strategico alla collaborazione e alla monetizzazione nell’ecosistema cybercriminale.
Conclusione
Le organizzazioni che utilizzano Control-WebPanel, Uniview DVR o Raisecom Router OS dovrebbero dare priorità alla gestione delle patch e scansionare regolarmente le vulnerabilità. Mantenere i sistemi aggiornati con le ultime patch di sicurezza può mitigare il rischio posto dagli exploit zero-day. La vendita di exploit zero-day da parte di attori di minacce come n4pster rappresenta un rischio significativo per le organizzazioni che utilizzano le tecnologie prese di mira. È essenziale che i team di sicurezza implementino misure proattive per proteggere le loro infrastrutture e ridurre il rischio di compromissioni. La collaborazione tra le aziende e la comunità di cybersecurity è fondamentale per affrontare queste minacce emergenti e proteggere le risorse critiche.
L'articolo Zero-Day For Sale! n4pster mette in vendita una RCE su Control-WebPanel (CWP) proviene da il blog della sicurezza informatica.
Balancing Balls With A Touchpad
Energy is expensive these days. There’s no getting around it. If, like [Giovanni], you want to keep better track of your usage, you might find value in his DIY energy meter build.
[Giovanni] built his energy meter to monitor energy usage in his whole home. An ESP32 serves as the heart of this build. It’s hooked up with a JSY-MK-194G energy metering module, which uses a current clamp and transformer in order to accurately monitor the amount of energy passing through the mains connection to his home. With this setup, it’s possible to track voltage, current, frequency, and power factor, so you can really nerd out over the electrical specifics of what’s going on. Results are then shared with Home Assistant via the ESPHome plugin and the ESP32’s WiFi connection. This allows [Giovanni] to see plots of live and historical data from the power meter via his smartphone.
A project like this one is a great way to explore saving energy, particularly if you live somewhere without a smart meter or any other sort of accessible usage tracking. We’ve featured some of [Giovanni’s] neat projects before, too. Video after the break.
youtube.com/embed/hP4fDkFyy3w?…
ESP32 Powers DIY Smart Energy Meter
Energy is expensive these days. There’s no getting around it. If, like [Giovanni], you want to keep better track of your usage, you might find value in his DIY energy meter build.
[Giovanni] built his energy meter to monitor energy usage in his whole home. An ESP32 serves as the heart of this build. It’s hooked up with a JSY-MK-194G energy metering module, which uses a current clamp and transformer in order to accurately monitor the amount of energy passing through the mains connection to his home. With this setup, it’s possible to track voltage, current, frequency, and power factor, so you can really nerd out over the electrical specifics of what’s going on. Results are then shared with Home Assistant via the ESPHome plugin and the ESP32’s WiFi connection. This allows [Giovanni] to see plots of live and historical data from the power meter via his smartphone.
A project like this one is a great way to explore saving energy, particularly if you live somewhere without a smart meter or any other sort of accessible usage tracking. We’ve featured some of [Giovanni]’s neat projects before, too.
youtube.com/embed/hP4fDkFyy3w?…
Gli Hacker Criminali di BASHE rivendicano un Attacco Informatico allo Stadio San Siro
Dopo l’attacco al Bologna calcio da noi anticipato e successivamente confermato dalla Bologna Calcio con un comunicato stampa apposito, alle 12:00 del 30 novembre la cyber gang BASHE rivendica un presunto attacco informatico ai danni dello Stadio Sansiro di Milano.
Il gruppo sostiene di avere avuto un accesso totale alle macchine delle postazioni principali, le anagrafiche dei calciatori, i contatti anagrafici UEFA, l’accesso ai maxischermi e macchine di controllo. Viene riportato che Sarebbero stati esfiltrati 1TB di dati. Al momento il countdown è fissato a 4 giorni, data dopo la quale i criminali informatici renderanno le informazioni esfiltrate dall’azienda pubbliche.
Attualmente, non possiamo confermare l’autenticità della notizia, poiché l’organizzazione non ha ancora pubblicato un comunicato ufficiale sul proprio sito web in merito all’incidente. Le informazioni riportate provengono da fonti pubbliche accessibili su siti underground, pertanto vanno interpretate come una fonte di intelligence e non come una conferma definitiva.
La gang cybercriminale ha pubblicato una serie di samples nel post, includendo schermate provenienti da postazioni Windows e sistemi di controllo interni dell’azienda. Questa strategia mira a dimostrare l’autenticità dei dati rubati, esercitando una forte pressione sulla vittima.
I criminali minacciano di rendere pubbliche le informazioni, aumentando il rischio per l’azienda, a meno che non venga pagato il riscatto. Tale tattica sfrutta la paura delle conseguenze reputazionali e legali per forzare il pagamento.
All’interno del loro post è presente quanto segue:
*Se vedete che nel blocco della vostra azienda è in corso un timer, avete la possibilità di evitare una fuga di dati. Per farlo, dovete scriverci nel modulo “Contattaci” e indicare i vostri dati. Il nostro team di assistenza vi contatterà a breve per aiutarvi.
Dovete capire che non c'è tempo per pensare, dovete prendere una decisione in fretta, il timer è partito.
Se vedete un pulsante “DOWNLOAD” in fondo alla pubblicazione della vostra azienda, significa che tutti i dati sono disponibili pubblicamente.
Garanzie dopo la transazione:
- La vostra pubblicazione sarà cancellata da questo sito
- Tutte le informazioni scaricate, i dati riservati, i dati personali, i database saranno cancellati dai server.
- Se necessario, vi verranno forniti gli strumenti per decriptare il vostro sistema.
- Vi forniremo informazioni su come evitare attacchi simili in futuro.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
Come proteggersi dal ransomware
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
- Formare il personale attraverso corsi di Awareness;
- Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
- Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
- Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
- Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
- Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
- Non seguire i collegamenti Web non richiesti nelle e-mail;
- Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
- Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
- Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
L'articolo Gli Hacker Criminali di BASHE rivendicano un Attacco Informatico allo Stadio San Siro proviene da il blog della sicurezza informatica.
Stripping GoPros To The Bone For Model Rocketry
The small size of action cameras has made them a great solution for getting high-quality experimental footage where other cameras don’t fit. GoPros are [Joe Barnard]’s camera of choice for his increasingly advanced rockets, but even the smallest models don’t quite fit where he needs them. They also overheat quickly, so in the video after the break, he demonstrates how he strips and customizes them to fit his required form factor.
[Joe] starts out with a GoPro HERO10 Bones, which is a minimalist version intended for FPV drones. He likes the quality of the 4K 120 FPS video and the fact that he can update the settings by simply holding up a QR code in front of the camera. The case appears to be ultrasonically welded, so careful work with a Dremel is required to get it open. The reveals the control board with an aluminum heat sink plate, and the sensor module on a short ribbon cable. For minimal drag[Joe] wants just the lens to poke out through the side of the rocket, so he uses slightly longer aftermarket ribbon cables to make this easier.
The camera’s original cooling design, optimized for drone airflow, meant the device would overheat within 5 minutes when stationary. To increase the run time without the need for an external heat sink, [Joe] opts to increase the thermal mass by adding thick aluminum to the existing cooling plate with a large amount of thermal paste. In an attempt to increase heat transfer from the PCB, he also covers the entire PCB with a thick layer of thermal paste. Many of the video’s commenters pointed out that this may hurt more than it helps because the thermal paste is really intended to be used as a thin layer to increase the contact surface to a heat sink. It’s possible that [Joe] might get better results with just a form-fitting thermal block and minimal thermal paste.
[Joe] is permanently epoxying three of these modified cameras into his latest rocket, which is intended to fly at Mach 3, and touch space. This may look like a waste of three relatively expensive cameras, but it’s just a drop in the bucket of a very expensive rocket build.
We’ve seen GoPros get (ab)used in plenty of creative ways, including getting shot from a giant slingshot, and reaching the edge of space on a rocket and a balloon.
youtube.com/embed/JOLnZ3mK8kQ?…
Electrostatic Puck: Making An Electret
You might have heard of electrets being used in microphones, but do you know what it is? Electrets produce a semi-permanent static electric field, similar to a magnet produces a magnetic field. The ones in microphones are very small, but in the video after the break [Jay] from the Plasma Channel makes a big electret and demonstrates it’s effects.
Electrets have been arounds since the 1800s, and are usually produced by melting an insulating material, and letting it solidify between two high-voltage electrodes. The original recipe used a mix of Carnauba wax, beeswax and rosin, which is what [Jay] tried first. He built a simple electric field detector, which is just a battery, LED and FET, with and open-ended resistor on the FET’s gate.
[Jay] 3D printed a simple cylindrical mold and stuck aluminum foil to the outer surfaces to act as the electrodes. He used his custom 6000:1 voltage transformer to hold the electrodes at ~40 kV. The first attempt did not produce a working electret because the electrodes were not in contact with the wax, and kept arcing across, which causes the electric charge to trop of repeatedly. Moving the aluminum electrodes the the inner surfaces of the molds top and larger distance between the plates eventually produced and electret detectable out to 10 inches.
This was with the original wax recipe, but there are now have much better materials available, like polyethylene. [Jay] heated a a block of it in the oven until it turned into a clear blob, and compressed it in a new mold with improved insulation. This produced significantly better results, with an electric field detectable out to 24 inches.
[Jay] also build an detector array, with 25 detectors in a 5×5 array, to help him visualize the size and shape of the field. One of the commenters had an interesting idea to use the detector with long exposure photography to visually map the shape of the electric field.
Besides microphones, static electricity is also useful for motors and speakers.
youtube.com/embed/oTNXXiMO3e8?…
When Transistor Count Mattered
Many Hackaday readers have an interest in retro technology, but we are not the only group who scour the flea markets. Alongside us are the collectors, whose interest is as much cultural as it is technological, and who seek to preserve and amass as many interesting specimens as they can. From this world comes [colectornet], with a video that crosses the bridge between our two communities, examining the so-called transistor wars of the late 1950s and through the ’60s. Just as digital camera makers would with megapixels four or five decades later, makers of transistor radios would cram as many transistors as they could into their products in a game of one-upmanship.
A simple AM transistor radio can be made with surprisingly few components, but for a circuit with a reasonable performance they suggest six transistors to be the optimal number. If we think about it we come up with five and a diode, that’s one for the self-oscillating mixer, one for IF, an audio preamplifier, and two for the audio power amplifier, but it’s possible we’re not factoring in the relatively low gain of a 1950s transistor and they’d need that extra part. In the cut-throat world of late ’50s budget consumer electronics though, any marketing ploy was worth a go. As the price of transistors tumbled but their novelty remained undimmed, manufacturers started creating radios with superfluous extra transistors, even sometimes going as far as to fit transistors which served no purpose. Our curious minds wonder if they bought super-cheap out-of-spec parts to fill those footprints.
The video charts the transistor wars in detail, showing us a feast of tiny radios, and culminating in models which claim a barely credible sixteen transistors. In a time when far more capable radios use a fraction of the board space, the video below the break makes for a fascinating watch.
youtube.com/embed/UJpggY_R5rs?…
Creating a Signature Wood Joint
We really love when makers make their construction techniques evident in an aesthetically-pleasing way, and [Laura Kampf] has created a clever joint that reveals how a piece is made.
[Kampf] is a big fan of using her domino joiner, which is similar to biscuits or dowel joinery, but she didn’t love how it hid the construction of the joint. She first figured out an “off label” use of the joiner by running it from the outside of the joint to show the exposed domino from one end.
Building on the concept to show an interesting contrast on both sides of the joint, she drilled a hole perpendicular the domino and placed a dowel through it, creating a locking joint. The choice looks great once a finish is applied to really accentuate the contrast, and another bonus is that if glue is only applied to the dowel and domino, it becomes trivial to separate the joint if needed by drilling out the dowel.
If you’d like to see some other interesting ways to join wood, how about this laser-cut wedge tenon, soda bottle heat shrink, or this collection of CNC joints.
youtube.com/embed/YeT3lrI34bM?…
Bootkitty: Il primo Bootkit UEFI per Linux che rivoluziona il panorama delle minacce informatiche
Negli ultimi anni, il panorama delle minacce informatiche ha visto una continua evoluzione, con attacchi sempre più sofisticati e mirati. Una delle scoperte più recenti e preoccupanti in questo ambito è “Bootkitty”, il primo bootkit UEFI progettato per colpire i sistemi Linux. Identificato dai ricercatori di ESET, Bootkitty segna una nuova era di attacchi mirati al cuore dei sistemi operativi, infrangendo la percezione di Linux come una piattaforma relativamente sicura.
Che cos’è Bootkitty?
Bootkitty è un malware avanzato che sfrutta le vulnerabilità del processo di avvio dei sistemi Linux attraverso il firmware UEFI. Per capire la portata di questa minaccia, è necessario comprendere che un bootkit UEFI agisce a un livello estremamente profondo del sistema, intervenendo nei primi stadi dell’avvio per compromettere l’integrità del sistema operativo. Questo rende il malware non solo difficile da rilevare, ma anche estremamente resistente alle operazioni di rimozione.
Scoperto per la prima volta il 5 novembre 2024, Bootkitty sembra essere ancora in una fase iniziale, forse un proof-of-concept. Tuttavia, la sua sofisticazione tecnica suggerisce che potrebbe essere utilizzato in futuro per attacchi mirati di alto profilo.
Il funzionamento di Bootkitty
Il funzionamento di Bootkitty è illustrato in un diagramma dettagliato che ne rivela l’architettura e le modalità di attacco. Vediamo i principali passaggi:
- L’ingresso nella partizione UEFI L’attacco inizia con l’infiltrazione nella partizione di sistema UEFI, dove il malware modifica o sostituisce file critici come
shimx64.efi. Questo componente diventa il veicolo principale per caricare il bootkit all’interno del sistema, bypassando le protezioni di sicurezza standard. - La manipolazione del bootloader GRUB Una volta penetrato nel sistema, Bootkitty prende di mira GRUB, il bootloader comunemente utilizzato su Linux. Modifica GRUB per disabilitare la verifica delle firme digitali, garantendo così il caricamento di file binari malevoli durante il processo di avvio.
- Compromissione del kernel Linux Il malware si spinge ancora oltre, intervenendo durante la decompressione del kernel Linux. Qui, Bootkitty modifica le funzioni di controllo dell’integrità e inietta codice malevolo, consentendo di aggirare i controlli di sicurezza e caricare moduli dannosi.
- Caricamento di binari ELF malevoli Attraverso la manipolazione della variabile LD_PRELOAD, Bootkitty carica file ELF sconosciuti, identificati come
/opt/injector.soe/init. Questi file vengono eseguiti prima dell’inizializzazione completa del sistema, permettendo al malware di installarsi profondamente e garantire il proprio funzionamento. - Persistenza e occultamento Infine, Bootkitty utilizza un modulo kernel associato chiamato “BCDropper” per mantenere la propria persistenza. Questo modulo implementa funzioni tipiche dei rootkit, come l’occultamento di file, processi e porte di comunicazione, rendendo estremamente difficile per i sistemi di sicurezza rilevarlo.
Un attacco rivoluzionario
Il diagramma del flusso di attacco evidenzia quanto sia avanzata l’architettura di Bootkitty. Ogni passaggio è progettato con cura per eludere i controlli di sicurezza, sfruttando vulnerabilità sia del firmware UEFI che del kernel Linux. L’introduzione di un bootkit per Linux rappresenta un cambiamento importante, dimostrando che anche piattaforme considerate sicure non sono immuni agli attacchi mirati.
Un aspetto interessante è che Bootkitty è firmato con un certificato auto-generato. Questo significa che su sistemi con UEFI Secure Boot abilitato, il malware non può essere eseguito a meno che l’attaccante non abbia già installato il proprio certificato. Tuttavia, su sistemi con Secure Boot disabilitato o configurato in modo errato, Bootkitty può agire senza restrizioni.
Una possibile connessione con BlackCat
Alcuni componenti di Bootkitty, come il modulo “BCDropper”, hanno spinto i ricercatori a ipotizzare una possibile connessione con il noto gruppo ransomware ALPHV, conosciuto anche come BlackCat. Tuttavia, al momento non ci sono prove concrete che colleghino Bootkitty a questo gruppo, lasciando aperta la questione sulla vera origine del malware.
Le implicazioni di Bootkitty
Bootkitty rappresenta un segnale d’allarme per la comunità della sicurezza informatica. Linux, tradizionalmente visto come una piattaforma più sicura rispetto a Windows, è ora chiaramente un bersaglio per attacchi sofisticati. Questa scoperta evidenzia l’importanza di rafforzare le difese anche su sistemi che in passato potevano essere considerati meno vulnerabili.
Come difendersi
Per mitigare il rischio di attacchi come Bootkitty, è fondamentale adottare misure preventive:
- Mantenere aggiornati i sistemi: Assicurarsi che il firmware UEFI e il sistema operativo siano sempre aggiornati con le ultime patch di sicurezza.
- Abilitare UEFI Secure Boot: Configurare Secure Boot in modo sicuro per accettare solo certificati affidabili.
- Monitorare la partizione UEFI: Utilizzare strumenti avanzati per rilevare modifiche non autorizzate ai file di sistema critici.
- Implementare soluzioni di sicurezza avanzate: Adottare software in grado di monitorare e analizzare il processo di avvio per identificare comportamenti anomali.
Conclusioni
Bootkitty non è solo un malware; è un campanello d’allarme che ci ricorda come la sicurezza informatica debba essere sempre considerata una priorità, indipendentemente dalla piattaforma. La sua complessità tecnica e il livello di sofisticazione dimostrano che gli attaccanti stanno spingendo i limiti delle loro capacità per compromettere sistemi apparentemente sicuri.
Per affrontare queste nuove sfide, è necessario un approccio proattivo e una collaborazione continua tra esperti di sicurezza, aziende e sviluppatori. Solo così possiamo prepararci a difendere i nostri sistemi dalle minacce emergenti come Bootkitty, che rappresentano la nuova frontiera della cybercriminalità.
L'articolo Bootkitty: Il primo Bootkit UEFI per Linux che rivoluziona il panorama delle minacce informatiche proviene da il blog della sicurezza informatica.
Tailwheel Trainer Go-Cart To Avoid Wrecked Planes
Taildraggers remain a popular configuration for small aircraft, but they come with a significant risk during ground handling: ground loops. If the tail gets too far off course, it can swing around completely, often damaging or destroying aircraft if a wing hits the ground. Avoiding ground loops requires good rudder and brake control, and there currently isn’t a good way to learn it without getting into an actual aircraft. [Trent Palmer] is a pilot and who has been thinking about this problem for a few years, so he built a 3-wheeled electric go-cart to help pilots train their ground handling.
The cart is controlled exactly like a taildragger, with a pair of rudder pedals connected to the single steerable via cables, and springs to add some response delay. Independent hydraulic brakes on each main wheel, operated by toe pedals, further simulate the control on many aircraft. The main wheel are controlled with a throttle lever, with a differential to allow them to rotate at different speeds. The cart is unforgiving, and requires constant corrections with the pedals to keep it going straight.[Trent] had few pilot and non-pilot friends try out the cart, and even the experienced tailwheel pilots got into ground loop. It might be bit too sensitive, but everyone agreed that mastering this cart would significantly improve ground handling skills in actual aircraft.
Repairing a damaged aircraft can cost several thousand dollar, so a cheap training tool like this could prove invaluable flight schools and even individual pilots. [Trent] doesn’t have big plans for commercialization, but we wouldn’t be surprised if it goes that way.
Taildraggers are especially popular as bush planes, with many tracing their heritage from the humble Piper J-3 Cub. We’ve seen some extreme extreme modern bush planes, like [Mike Patey]’s Scrappy and Draco builds.
youtube.com/embed/CkeKbVq42Iw?…
Rockstar 2FA: Il Kit di Phishing che Bypassa l’MFA e Rende il Crimine Accessibile
Considerare l’autenticazione multifattore (MFA) come una difesa assolutamente inviolabile non solo è un errore, ma una pericolosa sottovalutazione. Un toolkit chiamato Rockstar 2FA, sta prendendo di mira gli utenti di Microsoft 365 e Google con attacchi sofisticati che sfruttano la tecnica Adversary-in-the-Middle (AiTM). Questo metodo permette agli attaccanti di intercettare in tempo reale credenziali e cookie di sessione, bypassando anche le protezioni MFA più avanzate.
Il Toolkit
Rockstar 2FA è un kit di phishing-as-a-service (PhaaS) che, per una cifra contenuta di $200 per due settimane o $350 al mese, consente anche ai criminali informatici meno esperti di lanciare campagne sofisticate. Questo strumento avanzato offre funzionalità come il bypass dell’MFA, permettendo il furto dei cookie di sessione, protezione antibot per evitare i rilevamenti automatizzati, e la possibilità di creare temi personalizzabili che replicano perfettamente le pagine di login di servizi noti. Inoltre, i link generati sono FUD (Fully Undetectable), cioè totalmente invisibili ai sistemi di sicurezza, e l’interfaccia fornisce un pannello di controllo intuitivo, che consente ai criminali di gestire e monitorare facilmente le loro campagne. Queste caratteristiche rendono Rockstar 2FA uno strumento potente e pericoloso, accessibile anche a chi ha poca esperienza tecnica, trasformando il crimine informatico in un’attività sempre più strutturata e professionale.
Come funziona l’attacco?
Rockstar 2FA sfrutta una combinazione di vettori di attacco per colpire le sue vittime, utilizzando URL camuffati, codici QR e allegati dannosi inviati tramite account compromessi o strumenti di spamming. Una delle sue caratteristiche più insidiose è l’uso di piattaforme legittime come Google Docs Viewer e Microsoft OneDrive per ospitare i link di phishing, sfruttando così la fiducia degli utenti in questi servizi. Le false pagine di login, create con un’accuratezza estremamente dettagliata, imitano perfettamente quelle dei servizi reali. Una volta che l’utente inserisce le credenziali, queste vengono immediatamente inviate al server dell’attaccante, consentendogli di ottenere anche i cookie di sessione e aggirare le misure di autenticazione MFA.
La minaccia di Rockstar 2FA si inserisce in una tendenza più ampia, in cui il phishing diventa sempre più accessibile e sofisticato grazie a strumenti come i phishing-as-a-service. Campagne parallele, come quella recentemente individuata da Malwarebytes e denominata Beluga, mostrano come i criminali utilizzino allegati dannosi per sottrarre credenziali, mentre altre operazioni fraudolente continuano a diffondere applicazioni dannose con la promessa di guadagni facili. Questi esempi sottolineano quanto sia fondamentale per le aziende e gli utenti finali mantenere alta la guardia contro attacchi sempre più avanzati e su misura.
Come difendersi?
In un contesto dove persino l’MFA può essere aggirato, la sicurezza richiede un approccio a 360 gradi. Ecco alcune misure essenziali:
- Monitoraggio continuo dei sistemi: monitorare in tempo reale per rilevare accessi sospetti e comportamenti anomali.
- Implementazione di soluzioni anti-phishing avanzate: soluzioni in grado di analizzare i link in tempo reale e bloccare quelli dannosi prima che raggiungano l’utente.
- Sensibilizzazione degli utenti: fornire formazione continua per riconoscere e gestire correttamente email sospette, in modo che diventino una prima linea di difesa contro il phishing.
Conclusione
Rockstar 2FA non è solo una minaccia, ma un campanello d’allarme che segnala l’evoluzione del crimine informatico. Con la capacità di aggirare l’autenticazione MFA, il phishing non è più una semplice minaccia, ma un attacco strutturato e mirato che richiede una protezione adeguata.
Le aziende non possono più permettersi di basarsi esclusivamente su soluzioni tradizionali. La protezione contro questi attacchi sofisticati è una necessità strategica, che richiede investimenti in soluzioni avanzate e una vigilanza continua per proteggere le risorse più critiche e salvaguardare la fiducia degli utenti.
L'articolo Rockstar 2FA: Il Kit di Phishing che Bypassa l’MFA e Rende il Crimine Accessibile proviene da il blog della sicurezza informatica.
8-Bit Computers Crunch Advanced Scientific Computations
Although largely relegated to retrocomputing enthusiasts and embedded systems or microcontrollers now, there was a time when there were no other computers available other than those with 8-bit processors. The late 70s and early 80s would have seen computers with processors like the Motorola 6800 or Intel 8080 as the top-of-the-line equipment and, while underpowered by modern standards, these machines can do quite a bit of useful work even today. Mathematician [Jean Michel Sellier] wanted to demonstrate this so he set up a Commodore 64 to study some concepts like simulating a quantum computer.
The computer programs he’s written to do this work are in BASIC, a common high-level language of the era designed for ease of use. To simulate the quantum computer he sets up a matrix-vector multiplication but simplifies it using conditional logic. Everything is shown using the LIST command so those with access to older hardware like this can follow along. From there this quantum computer even goes as far as demonstrating a quantum full adder.
There are a number of other videos on other topics available as well. For example, there’s an AmigaBasic program that simulates quantum wave packets and a QBasic program that helps visualize the statistical likelihood of finding an electron at various locations around a hydrogen nucleus. While not likely to displace any supercomputing platforms anytime soon, it’s a good look at how you don’t need a lot of computing power in all situations. And, if you need a refresher on some of these concepts, there’s an overview on how modern quantum computers work here.
Upgrading the M4 Mac Mini with More Storage
Apple’s in-house chips have some impressive specs, but user serviceability is something Apple left behind for consumer machines around a decade ago. Repair legend [dosdude1] shows us how the new M4 Mac mini can get a sizeable storage upgrade without paying the Apple tax.
The Mac mini is Apple’s least expensive machine, and in the old days you could swap a SATA drive for more storage and not pay the exorbitant prices that OEMs demand. Never one to turn down a walled garden, later Intel machines and now the ARM-based M-series chips soldered storage into the machine leaving an upgrade out of the hands of anyone without a hot air station.
Both the Mac Studio and Mac mini now have proprietary storage cards, and after some tinkering, [dosdude1] has successfully upgraded the storage on the base model M4 mini. While most people don’t casually reball NAND chips while chatting on a video, his previous work with others in the space to make a Mac Studio upgrade kit give us hope we’ll soon see economical storage upgrades that keep the Mac mini affordable.
We’ve previously covered the first time Apple tried to make its own processors, and some of their more recent attempts at repairability.
youtube.com/embed/cJPXLE9uPr8?…
Matrix: Il misterioso attore dietro una botnet IoT globale per attacchi DDoS
Gli esperti di Aqua avvertono che un gruppo o una persona con il soprannome di Matrix è associato ad attacchi DDoS su larga scala. Dietro questi attacchi si nasconde una botnet di dispositivi Internet of Things (IoT) che vengono violati attraverso varie vulnerabilità ed errori di configurazione.
“Si tratta di una soluzione completa e universale per la ricerca e lo sfruttamento delle vulnerabilità, la distribuzione di malware e la creazione di kit già pronti. Questo approccio agli attacchi informatici può essere descritto come un approccio “fai da te””, affermano i ricercatori.
Secondo gli esperti, dietro questa attività potrebbe esserci una sola persona e c’è motivo di credere che si tratti di uno script kiddie in lingua russa.
Gli attacchi di Matrix prendono di mira principalmente indirizzi IP situati in Cina e Giappone, nonché Argentina, Australia, Brasile, Egitto, India e Stati Uniti. A quanto pare gli aggressori sono guidati esclusivamente da motivazioni finanziarie.
Le catene di attacco si basano sullo sfruttamento di vulnerabilità note, nonché sulla forza bruta di credenziali predefinite o non attendibili per ottenere l’accesso a vari dispositivi IoT (tra cui telecamere IP, DVR, router e apparecchiature di telecomunicazione).
Inoltre, secondo quanto riferito, gli aggressori hanno preso di mira server Telnet, SSH e Hadoop configurati in modo errato, con particolare attenzione agli intervalli di indirizzi IP associati ai fornitori di servizi cloud come Amazon Web Services (AWS), Microsoft Azure e Google Cloud.
“È interessante notare che l’aggressore ha utilizzato elenchi speciali di fornitori di servizi cloud, prestando molta attenzione ai loro intervalli IP. Inoltre sono stati attaccati piccoli cloud privati e aziende. Ad esempio, gli obiettivi includevano l’indirizzo IP di Intuit, nonché dispositivi IoT e numerose organizzazioni nella regione Asia-Pacifico, in particolare Cina e Giappone”, afferma il rapporto Aqua.
Allo stesso tempo, l’attività dannosa si basa in gran parte su script e strumenti disponibili gratuitamente ospitati su GitHub.
Alla fine, gli attacchi portano alla distribuzione del malware Mirai e di altri malware per attacchi DDoS su dispositivi e server compromessi. Tra questi: PYbot , pynet , DiscordGo , Homo Network , una soluzione JavaScript che implementa il crowding HTTP/HTTPS, nonché uno strumento per disabilitare la protezione di Microsoft Defender sulle macchine Windows.
I ricercatori hanno concluso che anche l’account GitHub di Matrix, creato nel novembre 2023, contiene una serie di artefatti relativi agli attacchi DDoS.
Si ritiene che la botnet sia pubblicizzata come un servizio di attacco DDoS a noleggio e operi tramite un bot di Telegram che consente ai clienti di scegliere diversi livelli di “abbonamento” per eseguire attacchi (in cambio di un pagamento in criptovaluta).
L'articolo Matrix: Il misterioso attore dietro una botnet IoT globale per attacchi DDoS proviene da il blog della sicurezza informatica.
Pushing 802.11ah to the Extreme with Drones
It might come as a surprise to some that IEEE, the Institute for Electrical and Electronics Engineers, does more than send out mailers asking people to renew their memberships. In fact, they also maintain various electrical standards across a wide range of disciplines, but perhaps the one most of us interact with the most is the 802.11 standard which outlines WiFi. There have been many revisions over the years to improve throughput but the 802.11ah standard actually looks at decreasing throughput in favor of extremely increased range. Just how far you can communicate using this standard seems to depend on how many drones you have.
802.11ah, otherwise known as Wi-Fi HaLow, operates in the sub-gigahertz range which is part of why it has the capability of operating over longer distances. But [Aaron] is extending that distance even further by adding a pair of T-Halow devices, one in client mode and the other in AP (access point) mode, on a drone. The signal then hops from one laptop to a drone, then out to another drone with a similar setup, and then finally down to a second laptop. In theory this “Dragon Bridge” could allow devices to communicate as far as the drone bridge will allow, and indeed [Aaron] has plans for future revisions to include more powerful hardware which will allow even greater distances to be reached.
While there were a few bugs to work out initially, eventually he was able to get almost two kilometers of distance across six devices and two drones. Something like this might be useful for a distributed network of IoT devices that are just outside the range of a normal access point. The Dragon Bridge borrowed its name from DragonOS, a Linux distribution built by [Aaron] with a wide assortment of software-defined radio tools available out of the box. He’s even put in on the Steam Deck to test out long-distance WiFi.
youtube.com/embed/8GYzzZYQY3Y?…
Making a Stool from Clay
We’ve seen furniture made out of all sorts of interesting materials here, but clay certainly isn’t the first one that comes to mind. [Mia Mueller] is expanding our horizons with this clay stool she made for her garden.
Starting with an out-of-budget inspiration piece, [Mueller] put her own spin on a ceramic stool that looks like a whimsical human head. An experienced potter, she shows us several neat techniques for working with larger pieces throughout the video. Her clay extruder certainly beats making coils by hand like we did in art class growing up! Leaving the coils wrapped in a tarp allows her to batch the process coils and leave them for several days without worrying about them drying out.
Dealing with the space constraints of her small kiln, her design is a departure from the small scale prototype, but seeing how she works through the problems is what really draws us to projects like this in the first place. If it was easy, it wouldn’t be making, would it? The final result is a beautiful addition to her garden and should last a long time since it won’t rot or rust.
If you’re thinking of clay as a medium, we have some other projects you might enjoy like this computer mouse, 3D printing with clay, or a clay battery.
youtube.com/embed/X-EqYmgg6pc?…
Arduino VGA, The Old Fashioned Way
Making a microcontroller speak to a VGA monitor has been a consistent project in our sphere for years, doing the job for which an IBM PC of yore required a plug-in ISA card. Couldn’t a microcontroller talk to a VGA card too? Of course it can, and [0xmarcin] is here to show how it can be done with an Arduino Mega.
The project builds on the work of another similar one which couldn’t be made to work, and the Trident card used couldn’t be driven in 8-bit ISA mode. The web of PC backwards compatibility saves the day though, because many 16-bit ISA cards also supported the original 8-bit slots from the earliest PCs. The Arduino is fast enough to support the ISA bus speed, but the card also needs the PC’s clock line to operate, and it only supports three modes: 80 x 25, 16 colour text, 320 x 200, 256 colour graphics, and 640 x 480, 16 colour graphics.
Looking at this project, it serves as a reminder of the march of technology. Perhaps fifteen years or more ago we’d have been able to lay our hands on any number of ISA cards to try it for ourselves, but now eight years after we called the end of the standard, we’d be hard placed to find one even at our hackerspace. Perhaps your best bet if you want one is a piece of over-the-top emulation.
Uncle Sam Wants You to Recover Energy Materials from Wastewater
The U.S. Department of Energy’s (DOE) Advanced Research Projects Agency-Energy (ARPA-E) was founded to support moonshot projects in the realm of energy, with a portfolio that ranges from the edge of current capabilities to some pretty far out stuff. We’re not sure exactly where their newest “Notice of Funding Opportunity (NOFO)” falls, but they’re looking for critical materials from the wastewater treatment process. [via CleanTechnica]
As a refresher, critical materials are those things that are bottlenecks in a supply chain that you don’t want to be sourcing from unfriendly regions. For the electrification of transportation and industrial processes required to lower carbon emissions, lithium, cobalt, and other rare earth elements are pretty high on the list.
ARPA-E also has an interest in ammonia-based products which is particularly interesting as industrial fertilizers can wreak havoc on natural ecosystems when they become run off instead of making it into the soil. As any farmer knows, inputs cost money, so finding an economical way to recover those products from wastewater would be a win-win. “For all categories, the final recovered products will need to include at least two targeted high energy-value materials, have greater than 90% recovery efficiency, and be commercially viable in the U.S. market.” If that sounds like the sort of thing you’d like to try hacking on, consider filling out an Applicant Profile.
If you’re curious about where we’re getting some of these materials from right now, checkout our series on Mining and Refining, including the lithium and cobalt ARPA-E wants more of.
It’s Like LightScribe, But For Floppies!
Back when CD-Rs were the thing, there were CD burner drives which would etch images in the unoccupied areas of a CD-R. These so-called LightScribe drives were a novelty of which most users soon tired, but they’re what’s brought to our mind by [dbalsom]’s project. It’s called PNG2disk, and it does the same job as LightScribe, but for floppies. There’s one snag though; the images are encoded in magnetic flux and thus invisible to the naked eye. Instead, they can be enjoyed through a disk copying program that shows a sector map.
The linked GitHub repository has an example, and goes in depth through the various options it supports, and how to view images in several disk analysis programs. This program creates fully readable disks, and can even leave space for a filesystem. We have to admit to being curious as to whether such an image could be made physically visible using for example ferrofluid, but we’d be the first t admit to not being magnetic flux experts.
PNG2disk is part of the Fluxfox project, a library for working with floppy disk images. Meanwhile LightScribe my have gone the way of the dodo, but if you have one you could try making your own supercaps.