101010.pl is one of the many independent Mastodon servers you can use to participate in the fediverse.
101010.pl czyli najstarszy polski serwer Mastodon. Posiadamy wpisy do 2048 znaków.

Server stats:

517
active users

#virustotal

1 post1 participant0 posts today

🚨 #Obfuscated BAT file used to deliver NetSupport RAT

At the time of the analysis, the sample had not yet been submitted to #VirusTotal ⚠️

👨‍💻 See sandbox session: app.any.run/tasks/db6fcb53-6f1

🔗 Execution chain:
cmd.exe (BAT) ➡️ #PowerShell ➡️ PowerShell ➡️ #client32.exe (NetSupport client) ➡️ reg.exe

Key details:
🔹 Uses a 'client32' process to run #NetSupport #RAT and add it to autorun in registry via reg.exe
🔹 Creates an 'Options' folder in %APPDATA % if missing
🔹 NetSupport client downloads a task .zip file, extracts, and runs it from %APPDATA%\Application .zip
🔹 Deletes ZIP files after execution

❗️ BAT droppers remain a common choice in attacks as threat actors continue to find new methods to evade detection.

Use #ANYRUN’s Interactive Sandbox to quickly trace the full execution chain and uncover #malware behavior for fast and informed response.

🚨 New #phishing campaign uses #DBatLoader to drop #Remcos RAT.
The infection relies on #UAC bypass with mock directories, obfuscated .cmd scripts, Windows #LOLBAS techniques, and advanced persistence techniques. At the time of analysis, the samples had not yet been submitted to #VirusTotal ⚠️

🔗 Execution chain:
#Phish ➡️ Archive ➡️ DBatLoader ➡️ CMD ➡️ SndVol.exe (Remcos injected)

👨‍💻 #ANYRUN allows analysts to quickly uncover stealth techniques like LOLBAS abuse, injection, and UAC bypass, all within a single interactive analysis session. See analysis: app.any.run/tasks/c57ca499-51f

🛠️ Key techniques:
🔹 #Obfuscated with #BatCloak .cmd files are used to download and run #payload.
🔹 Remcos injects into trusted system processes (SndVol.exe, colorcpl.exe).
🔹 Scheduled tasks trigger a Cmwdnsyn.url file, which launches a .pif dropper to maintain persistence.
🔹 Esentutl.exe is abused via LOLBAS to copy cmd.exe into the alpha.pif file.
🔹 UAC bypass is achieved with fake directories like “C:\Windows “ (note the trailing space), exploiting how Windows handles folder names.

⚠️ This threat uses multiple layers of stealth and abuse of built-in Windows tools. Behavioral detection and attention to unusual file paths or another activity are crucial to catching it early. #ANYRUN Sandbox provides the visibility needed to spot these techniques in real time 🚀

Risico Cloudflare (+Trump)

🌦️ Achter Cloudflare
Steeds meer websites zitten "achter" het Amerikaanse bedrijf Cloudflare. Stel u opent pvv.nl (let op, daar staat https:// vóór, Mastodon verstopt dat) in uw browser:

browser <-1-> Cloudflare <-2-> pvv.nl

⛓️‍💥 Géén E2EE
Bij zeer veel websites (pvv.nl is een voorbeeld) is er sprake van twee *verschillende* verbindingen, dus beslist geen E2EE = End-to-End-Encryption (voor zover dat überhaupt nog wat zegt als de "echte" een cloud-server van Google, Microsoft of Amazon is).

🕋 CDN's
Cloudflare, een CDN (Content Delivery Network), heeft een wereldomspannend netwerk met "tunnel"-servers in computercentra van de meeste internetproviders. Waarschijnlijk ook bij u "om de hoek".

🔥 DDoS-aanvallen
Dat is werkt uitstekend tegen DDoS (Distributed Denial of Service) aanvallen. Ook zorgen CDN's voor veel snellere communicatie (mede doordat plaatjes e.d. op een web van servers "gecached" worden) - ook als de "echte" server aan de andere kant van de wereld staan.

🚨 Nadelen
Maar dit is NIET zonder prijs! Cloudflare kan namelijk *meekijken* in zeer veel "versleuteld" netwerkverkeer (en dat zelfs, desgewenst, wijzigen).

🚦 Nee, niet *u*
Ook kunnen Cloudflare-klanten allerlei regels instellen waar bezoekers aan moeten voldoen, en hen als "ongewenst" bezoek blokkeren (ook *criminele* klanten maken veelvuldig gebruik van deze mogelijkheid, o.a. om te voorkómen dat de makers van virusscanners nepwebsites op kwaadaardige inhoud kunnen checken).
Aanvulling 14:39: { zo kan ik, met Firefox Focus onder Android, cidi.nl *niet* openen, ik zie dan een pagina waarin o.a. staat "Even geduld, de website van Centrum Informatie en Documentatie Israël (CIDI) is aan het verifiëren of de verbinding veilig is. Please unblock challenges.cloudflare.com to proceed."
}

😎 Men In Black
Omdat Cloudflare een (tevens) in de VS gevestigd bedrijf is, moeten zij voldoen aan de Amerikaanse FISA section 702 wetgeving. Dat betekent dat hen opgedragen kan worden om internetverkeer te monitoren, en zij daar een zwijgplicht over hebben. Terwijl Amerikanen al minder privacy-rechten hebben dan Europeanen, hebben *niet*-Amerikanen *nul* privacyrechten volgens genoemde FISA wet.

🔓 Knip
Dat https-verbindingen via Cloudflare niet E2EE zijn, blijkt uit onderstaand plaatje (dat vast méér mensen wel eens gezien hebben).

📜 Certificaten en foutmeldingen
Dat plaatje kan, zonder certificaatfoutmeldingen, ALLEEN bestaan als Cloudflare een geldig authenticerend website-certificaat (een soort paspoort) heeft voor, in dit geval, bleepingcomputer.com - en dat hébben ze. Voor MILJOENEN websites.

🛃 MitM
Cloudflare (maar ook anderen, zoals Fastly) zijn een MitM (Man in the Middle).

🤔 De tweede verbinding?
Uw browser heeft, grotendeels transparant, een E2EE-verbinding met een Cloudflare server. U heeft géén idee wat voor soort verbinding Cloudflare met de werkelijke website heeft (is dat überhaupt https, en een veilige variant daarvan? Wat doet Cloudflare als het certificaat van de website verlopen is? Etc).

👽 AitM
En zodra een MitM kwaadaardig wordt, noemen we het een AitM (A van Attacker of Adversary).

🗽 Trump
Als Trump Cloudflare opdraagt om geen diensten meer aan NL of EU te leveren, werkt hier HELEMAAL NIETS MEER en dondert onze economie als een kaartenhuis in elkaar.

🃏 DV-certs
Dat Cloudflare een website-certificaat voor bijvoorbeeld vvd.nl of cidi.nl heeft verkregen, zou vreemd moeten zijn. Dit is echter een peuleschil "dankzij" DV (Domain Validated) certificaten (het lievelingetje van Google) die het internet steeds onveiliger maken en waar ook onze overheid "voor gevallen is" (zie infosec.exchange/@ErikvanStrat).

😱 Nepwebsites
Maar dit is nog niet alles: steeds meer criminele nepwebsites *verstoppen* zich achter Cloudflare, waar zijzelf (crimineel) geld aan verdient. Zie bijvoorbeeld security.nl/posting/876655 (of kijk eens in het "RELATIONS" tabblad van virustotal.com/gui/ip-address/ en druk enkele keren op •••).

Jaja, der Listenheini wieder. Diesmal hat mich mein Research zu sog. "Text Substition Tools" geführt. Sowas wie #ahk teilweise auch als Browser-Extension. Nich ganz unheikel. Deshalb bin ich auch bei sowas wie #ScamAdviser #Virustotal oder #BrowserAudit vorbei gekommen. Schaut mein kleines erstes Forschungsergebnis:

y.lab.nrw/txt-clip (Hedgedoc)

Gerne ergänzen, wie ihr hier gute Lösungen kennt.

\__
#OpenSource #BrowserSecurity #CyberSec #InfoSec

Google is kwaadaardig

Extreem zelfs, zij hosten -zonder blikken of blozen- zelfs phishingwebsites met de volgende URL's (ik heb ".com" vervangen door "·com", met "hoge" punt, en de '/' door '⧸', om onbedoeld openen te voorkómen):

https:⧸⧸helpdesk-google·com
https:⧸⧸cancel-google·com
https:⧸⧸adsupport-google·com

Veel meer info in security.nl/posting/872651/htt.

Edit 15:14: ik zie dat de redactie van security.nl mijn artikel heeft verwijderd (tot zover vrijheid van meningsuiting). Ik had het artikel gearchiveerd: archive.is/3UwWn.

Replied in thread

No digo que toda la gente piense como yo, que sólo instaló software #OpenSource, lo mas liviano posible, revisado con #Virustotal y #ExodusPrivacy además de chequear quien es el desarrollador antes de tomar cualquier acción.

Pero al menos revisen que el paquete este libre de bichos con #Virustotal, por lo menos eso.

Ahora tenemos muchas herramientas para verificar el software antes de instalarlo, usenlas, mantengan seguros sus dispositivos y eviten dolores de cabeza.

Replied in thread

Hay un grupo en donde prácticamente todos sus miembros instalaron #Nagram para usar #Telegram y hablan de muchas de sus características.

Entonces me entró la curiosidad, busque un repositorio "oficial" y lo bajé pero al pasarlo por #Virustotal me arrojo una novedad (ver imagen), nada mas y nada menos que un #Troyano razón por la cual, no instalé.

Entonces vino la discusión, muchos argumentaron que eso no era nuevo, que siempre había salido desde hace muchas versiones y que nunca les paso nada.

Replied in thread

Y acá vienen las diferentes formas. 🤔🤔🤔

Yo no instalo nada que no este limpio en #Virustotal y esto significa 0 detecciones. 🧐
Sí, CERO DETECCIONES. 0️⃣

Tengo amigos, expertos y desarrolladores #Android que instalan #APKs con dos o tres detecciones que no les parecen graves o que consideran falsos positivos.

Muchos de ellos me comentan que han mantenido dichas prácticas sin observar comportamientos anormales o consecuencias visibles en sus teléfonos.

Cada uno maneja su móvil a su antojo. 👍

Continued thread

Muchas personas instalan cualquier APK que les envían sin tomar ninguna precaución mientras otros no instalan nada por miedo a una infección.

Sí, existen muchos APKs que son verdaderos cultivos de virus y antes de instalar cualquier paquete, estos deben revisarse.

Al obtener el APK lo primero es pasar el archivo por #Virustotal para verificar si esta limpio de bichos y algunos mas paranoicos (como yo) por #ExodusPrivacy para revisar si trae rastreadores.

Esto debe hacerse siempre.. SIEMPRE.

Weird and Weirder: Israel & InfoSec

* ISRAEL *
From highergroundtimes.com/higher-g (warning, OMG-talk on a privacy-invasive website):

<<< Why America’s Christians support Israel
By Robert Knight Sunday, July 7, 2024
[...]
If the countries around it were pictured as the body and head of a gigantic man, Israel would constitute a fingernail.

Yet much of the world is insisting that it is diminutive Israel that has to give up “land for peace.”
[...]
The pro-Palestinian side argues facetiously that while Arabs have occupied what is now Israel for 3,000 years, Jews are interlopers who were not really in the picture until recently.
[...]
The Bible clearly says that God set aside Israel for the Jewish people.

Genesis 15:18, which Moses wrote about 3,500 years ago, states, “On that day the LORD made a covenant with Abram [Abraham] and said, “To your descendants I give this land, from the Wadi of Egypt to the great river, the Euphrates.”

Time and again, God allowed Israel’s enemies to smite them for adopting the barbaric practices of their pagan neighbors, such as child sacrifice, sexual immorality and idol worship. When they repented as a nation, God restored them.

An otherwise inexplicable miracle occurred in 1948 when Israel was reestablished after nearly 2,000 years. To many, it is proof that Jerusalem is at the center of God’s unfolding plan for humanity. Since its reestablishment 76 years ago, Israel has had a special relationship with the United States.
[...] >>>

* INFOSEC *
One can read the same BS here: hdfy8d1.cpi1.eu.org/higher-gro

However, if I tap "Home" in that page, or manually open hdfy8d1.cpi1.eu.org/, then CloudFlare reports that I've been blocked:

<<< Sorry, you have been blocked

You are unable to access washingtontimes.com

Why have I been blocked?
This website is using a security service to protect itself from online attacks. The action you just performed triggered the security solution. There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data. >>>

Why would CloudFlare report that "washingtontimes.com" is blocking me, while it is actually "hdfy8d1.cpi1.eu.org" that is (partially?) proxying "highergroundtimes.com" (albeit related to washingtontimes)?

Why does CloudFlare proxy so many malicious/phishing or otherwise shitsites? Is it really only money that counts?

Here's an example, look at the domain names in virustotal.com/gui/ip-address/ (note the "Communicating Files (1 M)" - mostly malware, then tap the ••• right above "Communicating Files" a couple of times to see more insane domain names).

Finally: note that, apart from the zillions of TLD's that confuse browsing people , now also "double-TLD's" (such as *.de.com and *.com.de) seem to gain popularity - by both legit and malicious users.

I made several improvements to the MISP modules, now a fully standalone project, including fixing some bothersome bugs in the Virustotal expansion module.

:github: github.com/MISP/misp-modules/

:github: standalone web interface github.com/MISP/misp-modules/b

New modules were also added and integrated to support additional services (Vysion, Stairwell, Slack).

#misp #osint #opensource #threatintel #threatintelligence #virustotal #stairwell

@misp