𝐂𝐮𝐜𝐤𝐨𝐨 𝐒𝐚𝐧𝐝𝐛𝐨𝐱 𝐯𝐬. 𝐕𝐢𝐫𝐮𝐬𝐓𝐨𝐭𝐚𝐥: 𝐖𝐡𝐢𝐜𝐡 𝐌𝐚𝐥𝐰𝐚𝐫𝐞 𝐀𝐧𝐚𝐥𝐲𝐬𝐢𝐬 𝐓𝐨𝐨𝐥 𝐅𝐢𝐭𝐬 𝐘𝐨𝐮?
Cuckoo Sandbox – Deep dynamic analysis in your controlled environment
VirusTotal – Quick multi-engine scanning for instant reputation checks
Choose smart, analyse better!
Visit us on - https://www.infosectrain.com/
I found this same thing on wish .com, don't go there, advertised as ' usb3 ', it was actually usb2, but had a blue ' usb3 ' end to ' sell the fraud '.
It was malware infested with windows malware. Cray cray cheap though. Ended up being four usb2, total generics in a config kinda like this microSD card setup.
They didn't anticipate me ripping it apart, fixing the solder points, ditch their whole shell since the firmware had burned in malware also, for persistent reinfections, obviously from china. Cheapest crap I've ever bought to ' do a self study on chinese malware ' cost wise though.
ProTip about Wish .Com:
You can just surf & find the software sold there WITHOUT buying a SINGLE thing since most of it IS infected as Windows, MacOS, Android & IOS apps that go along with their side project, #AI driven, zero humans in the loop customer service debacle of a company ' google engineer side project owned .com '.
A fun distraction during the pandemic though!
#VirusTotal'd tales, 
#infosec_jcp #investigations into #WishCom
(Don't buy hardware or software from there. It's #malware infested crp from a #GoogleEngineers side project.)
https://en.wikipedia.org/wiki/Wish_(company)
ProTip#2:
_Anyone_ in the #Fortune1000 or below finds ANY employee or contractor buying this hardware and bringing ANY of this KNOWN infected crap to their work should be FIRED, IMMEDIATELY, by their #infosec department, . Check their credit card for receipts*!
* Especially #GoogleEngineers
i created a graph in VirusTotal for `ingrammicro.com` and i'm still browsing but couldn't help but notice this sticking out `plus98rus.iso`
there's probably junk in here but if you're curious what i'm looking at here it's public. let me know if you make it more suitable for speculating about what is going down over there please: https://www.virustotal.com/graph/embed/g1e33259ac101490a8301ed9b8649e115e4c4f64719eb4b2187fb485068f80e35
something tells me it wasn't actually the Plus Pack! for windows 98.
Steam Phishing: Popular as Ever
A recent phishing campaign targeting Steam users has been identified, involving deceptive messages sent through the platform's Friends list. The attackers use fraudulent URLs that closely mimic Steam's official domain, directing users to a fake 'Summer Gift Marathon' page. Upon logging in, users' credentials are stolen, potentially leading to further phishing attacks and theft of inventory items. The blog post lists numerous similar phishing domains and provides tips for users to stay safe, including only logging in through the legitimate Steam website, being cautious of unexpected messages with links, and using tools like URLscan.io and VirusTotal to check suspicious websites.
Pulse ID: 6855ae943f355ff6dde0d14a
Pulse Link: https://otx.alienvault.com/pulse/6855ae943f355ff6dde0d14a
Pulse Author: AlienVault
Created: 2025-06-20 18:55:16
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
Interesting potential #babar Dev-Sample dropped on #virustotal 
a4a8999e251a7d12661f49b57a1459fbd89cdbea8d3834457df4a96e1a80ba9e
#Obfuscated BAT file used to deliver NetSupport RAT
At the time of the analysis, the sample had not yet been submitted to #VirusTotal 
See sandbox session: https://app.any.run/tasks/db6fcb53-6f10-464e-9883-72fd7f1db294?utm_source=mastodon&utm_medium=post&utm_campaign=obfuscated_bat_file&utm_content=linktoservice&utm_term=050625
Execution chain:
cmd.exe (BAT) 
#PowerShell PowerShell #client32.exe (NetSupport client) reg.exe
Key details: 
Uses a 'client32' process to run #NetSupport #RAT and add it to autorun in registry via reg.exe Creates an 'Options' folder in %APPDATA % if missing NetSupport client downloads a task .zip file, extracts, and runs it from %APPDATA%\Application .zip Deletes ZIP files after execution
️ BAT droppers remain a common choice in attacks as threat actors continue to find new methods to evade detection.
Use #ANYRUN’s Interactive Sandbox to quickly trace the full execution chain and uncover #malware behavior for fast and informed response.
MalChela 2.2 “REMnux” Release
MalChela’s 2.2 update is packed with practical and platform-friendly improvements. It includes native support for REMnux, better tool settings, and deeper integrations with analysis tools like YARA-X, Tshark, Volatility3, and the newly improved fileanalyzer module.
REMnux Edition: Built-In Support, Zero Tweaks
When the GUI loads a REMnux-specific tools.yaml profile, it enters REMnux mode.
Screenshot of yaml configuration applying REMnux modeNative binaries and Python scripts like capa, oledump.py, olevba, and FLOSS are loaded into the MalChela tools menu, allowing you to mix and match operations with the embedded MalChela utilities and the full REMnux tool stack. No manual configuration needed—just launch and go. MalChela currently supports the following REMnux programs right out of the box:
Tool NameDescriptionbinwalkFirmware analysis and extraction toolcapaIdentifies capabilities in executable filesradare2Advanced reverse engineering frameworkVolatility 3Memory forensics framework for RAM analysisexiftoolExtracts metadata from images, documents, and moreTSharkTerminal-based network packet analyzer (Wireshark CLI)mraptorDetects malicious macros in Office documentsoledumpParses OLE files and embedded streamsoleidIdentifies features in OLE files that may indicate threatsolevbaExtracts and analyzes VBA macros from Office filesrtfobjExtracts embedded objects from RTF documentszipdumpInspects contents of ZIP files, including suspicious payloadspdf-parserAnalyzes structure and contents of suspicious PDFsFLOSSReveals obfuscated and decoded strings in binariesclamscanOn-demand virus scanner using ClamAV enginestringsExtracts printable strings from binary filesYARA-XNext-generation high-performance YARA rule scannerIf you only need a subset of tools you can easily save and restore that a custom profile.
TShark Panel with Built-In Reference
Tshark and the integrated field referenceA new TShark integration exposes features including:
This helps analysts build and understand filters quickly—even if TShark isn’t something they use every day. Using the syntax builder in MalChela you can use the exact commands directly in Tshark or Wireshark.
YARA-X Support (Install Guide Included)
YARA-X module in MalChelaSupport for YARA-X (via the `yr` binary) is now built in. YARA-X is not bundled with REMnux by default, but install instructions are included in the User Guide for both macOS and Linux users.
Once installed, MalChela allows for rule-based scanning from the GUI,and with YARA-X, it’s faster than ever.
fileanalyzer: Fuzzy Hashing, PE Metadata, and More
Updated FileAnalyzer ModuleMalChela’s fileanalyzer tool has also been updated to include:
These improvements provide deeper insight into executable structure, helping analysts detect anomalies such as packers, suspicious timestamps, or unexpected imports/exports. Useful for everything from sample triage to correlation, fileanalyzer now digs deeper—without slowing down.
Memory Forensics Gets a Boost: Volatility 3 Now Supported
With the 2.2 release, MalChela introduces support for Volatility 3, the modern Python-based memory forensics framework. Whether you’re running MalChela in REMnux or on a customized macOS or Linux setup, you can now access the full power of Volatility directly from the MalChela GUI.
Volatility 3 in MalChelaThere’s an intuitive plugin selector that dynamically adjusts available arguments based on your chosen plugin,. You can search, sort, and browse available plugins, and even toggle output options like –dump-dir with ease.
Like Tshark, there is an added plugin reference panel with searchable descriptions and argument overviews — a real time-saver when navigating Volatility’s deep and often complex toolset.
Volatility Plugin ReferenceSmarter Tool Configuration via YAML
The tool configuration system continues to evolve:
This structure helps keep things clean—whether you’re testing, teaching, or deploying in a lab environment.
Embedded Documentation Access
The GUI now includes a link to the full MalChela User Guide in PDF. You can also access the documentation online.
From tool usage and CLI flags to configuration tips and install steps, it’s all just a click away—especially useful in offline environments or when onboarding new analysts. I’ll be honest, this is likely the most comprehensive user guide I’ve ever written.
Whether you’re reviewing binaries, building hash sets, or exploring network captures—MalChela 2.2 is designed bring together the tools you need, and make it easier to interoperate between them.
The new REMnux mode makes it even easier to get up and running with dozens of third party integrations.
Have an idea for a feature or application you’d like to see supported — reach out to me.
GitHub: REMnux Release
Well played @bsi 
But also show's that #virustotal is not as trustworthy as it seems and actively censors stuff.
New #phishing campaign uses #DBatLoader to drop #Remcos RAT.
The infection relies on #UAC bypass with mock directories, obfuscated .cmd scripts, Windows #LOLBAS techniques, and advanced persistence techniques. At the time of analysis, the samples had not yet been submitted to #VirusTotal
Execution chain:
#Phish Archive DBatLoader CMD SndVol.exe (Remcos injected)
#ANYRUN allows analysts to quickly uncover stealth techniques like LOLBAS abuse, injection, and UAC bypass, all within a single interactive analysis session. See analysis: https://app.any.run/tasks/c57ca499-51f5-4c50-a91f-70bc5a60b98d/?utm_source=mastodon&utm_medium=post&utm_campaign=dbatloader&utm_term=150525&utm_content=linktoservice
Key techniques: #Obfuscated with #BatCloak .cmd files are used to download and run #payload. Remcos injects into trusted system processes (SndVol.exe, colorcpl.exe). Scheduled tasks trigger a Cmwdnsyn.url file, which launches a .pif dropper to maintain persistence. Esentutl.exe is abused via LOLBAS to copy cmd.exe into the alpha.pif file. UAC bypass is achieved with fake directories like “C:\Windows “ (note the trailing space), exploiting how Windows handles folder names.
This threat uses multiple layers of stealth and abuse of built-in Windows tools. Behavioral detection and attention to unusual file paths or another activity are crucial to catching it early. #ANYRUN Sandbox provides the visibility needed to spot these techniques in real time 
What VirusTotal Missed — Discover with Unknown Cyber – Source: www.cyberdefensemagazine.com https://ciso2ciso.com/what-virustotal-missed-discover-with-unknown-cyber-source-www-cyberdefensemagazine-com/ #rssfeedpostgeneratorecho #cyberdefensemagazine #cyberdefensemagazine #CyberSecurityNews #unknowncyber #unknowncyber #VirusTotal #FEATURED #Malware #Unknown
Dankjewel voor deze verhelderende uitleg. Ik heb er niet bij stilgestaan dat door Cloudflare grote blokken van het internet letterlijk kunnen worden uitgeschakeld, door simpelweg een script te draaien
Dang... The #Firefox alternative #Librewolf actually is flagged by #Virustotal
Fuck this shit, purge, rollback and set new passwords. Next time I better listen to @znovak #infosec
MalChela Updates: New Features and Enhancements
It’s been just over a week since MalChela was initially released and already here have been a number of updates.
mStrings
In the previous post, I walked through the new mStrings function. I think this is one of my favorites so far. It extracts strings from a file and uses Sigma rules defined in YAML against the strings to evaluate threats and align results to the MITRE ATT&CK framework.
For fun I pointed it at an old WannaCry sample . I had a proud papa moment at the positive network IOC detection.
Check for Updates
Next came a function to automatically check the GitHub repo for updates and encourage a git pull to grab the latest… because apparently I can’t stop myself and this project will just keep growing, as my sleep keeps dwindling. Personally I found it ironic that you have to update in order to get the update telling you that updates are available… but it will work for all future updates as they come. So go ahead and update why don’t you.
Screenshot of MalChela indicating an update is available via git.New File Analyzer module
Most recently a File Analyzer module has been added. Give it the path to your suspect file and it will return back:
Lastly, you’re given the option of whether or not you want to run strings on the file, or return to the main menu.
I really like the idea of using this as a possible first step in static analysis. Run this first and opt for strings. Things look interesting there, throw it into mStrings. Positive match on VirusTotal – use the malware hash lookup and get a more detailed analysis. Use the results from mStrings to craft a YARA rule and add it to your repo for future detections.
@SandraDeHaan schreef: "Ook NL heeft zich afhankelijk gemaakt van Amerikaanse digitale infrastructuur (o.a. cloud-diensten)."
Daar waarschuw ik al langer voor (zie https://security.nl/posting/684958 van 6-1-2021 toen ik de bestorming van het Capitool zag, en zie bovenaan die pagina).
En gisteren nog: https://infosec.exchange/@ErikvanStraten/114042082778156313
En de NL overheid gaat daar, op advies van "experts" (anoniem natuurlijk) gewoon in mee: https://security.nl/posting/876914.
Hoe NAÏEF kunnen we zijn?!
En waarom een EV-certificaat, bijv. van de Rabobank, 1FA (en DV nauwelijks veiliger dan DNS is - een notoir onveilig protocol): https://security.nl/posting/877247.
P.S. Helaas heb ik Bert Hubert moeten bliokken nadat hij IDF-propagandaspam uit Auschwitz had geboost.
#Availability #Beschikbaarheid #Cinfidentiality #Vertrouwelijkheid #Integrity #Integriteit #Authenticity #Authenticiteit #Risico #Economie #Cloudflare #Fastly #CDN #AitM #MitM.#FISASection702 #FISA #ThreeLetterAgencies#Trump #Sbowden #E2EE #InfoSec #VVD #PVV #CIDI #VT #VirusTotal #DVCerts #DV #OV #EV #QWAC #CyberCrime #NepWebsites #FakeWebsites
Risico Cloudflare (+Trump)
Toevoeging 21 maart 2025 {
Cloudflare bekijkt uw wachtwoorden (en 2FA codes), en zou daarmee desgewenst als u kunnen inloggen op uw accounts. Ze geven dat impliciet zelf toe: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/. Bron: https://benjojo.co.uk/u/benjojo/h/cR4dJWj3KZltPv3rqX.
}
Achter Cloudflare
Steeds meer websites zitten "achter" het Amerikaanse bedrijf Cloudflare. Stel u opent https://pvv.nl (let op, daar staat https:// vóór, Mastodon verstopt dat) in uw browser:
browser <-1-> Cloudflare <-2-> https://pvv.nl
Géén E2EE
Bij zeer veel websites (https://pvv.nl is een voorbeeld) is er sprake van twee *verschillende* verbindingen, dus beslist geen E2EE = End-to-End-Encryption (voor zover dat überhaupt nog wat zegt als de "echte" een cloud-server van Google, Microsoft of Amazon is).
CDN's
Cloudflare, een CDN (Content Delivery Network), heeft een wereldomspannend netwerk met "tunnel"-servers in computercentra van de meeste internetproviders. Waarschijnlijk ook bij u "om de hoek".
DDoS-aanvallen
Dat is werkt uitstekend tegen DDoS (Distributed Denial of Service) aanvallen. Ook zorgen CDN's voor veel snellere communicatie (mede doordat plaatjes e.d. op een web van servers "gecached" worden) - ook als de "echte" server aan de andere kant van de wereld staan.
Nadelen
Maar dit is NIET zonder prijs! Cloudflare kan namelijk *meekijken* in zeer veel "versleuteld" netwerkverkeer (en dat zelfs, desgewenst, wijzigen).
Nee, niet *u*
Ook kunnen Cloudflare-klanten allerlei regels instellen waar bezoekers aan moeten voldoen, en hen als "ongewenst" bezoek blokkeren (ook *criminele* klanten maken veelvuldig gebruik van deze mogelijkheid, o.a. om te voorkómen dat de makers van virusscanners nepwebsites op kwaadaardige inhoud kunnen checken).
Aanvulling 14:39: { zo kan ik, met Firefox Focus onder Android, https://cidi.nl *niet* openen, ik zie dan een pagina waarin o.a. staat "Even geduld, de website van Centrum Informatie en Documentatie Israël (CIDI) is aan het verifiëren of de verbinding veilig is. Please unblock challenges.cloudflare.com to proceed."
}
Men In Black
Omdat Cloudflare een (tevens) in de VS gevestigd bedrijf is, moeten zij voldoen aan de Amerikaanse FISA section 702 wetgeving. Dat betekent dat hen opgedragen kan worden om internetverkeer te monitoren, en zij daar een zwijgplicht over hebben. Terwijl Amerikanen al minder privacy-rechten hebben dan Europeanen, hebben *niet*-Amerikanen *nul* privacyrechten volgens genoemde FISA wet.
Knip
Dat https-verbindingen via Cloudflare niet E2EE zijn, blijkt uit onderstaand plaatje (dat vast méér mensen wel eens gezien hebben).
Certificaten en foutmeldingen
Dat plaatje kan, zonder certificaatfoutmeldingen, ALLEEN bestaan als Cloudflare een geldig authenticerend website-certificaat (een soort paspoort) heeft voor, in dit geval, https://bleepingcomputer.com - en dat hébben ze. Voor MILJOENEN websites.
MitM
Cloudflare (maar ook anderen, zoals Fastly) zijn een MitM (Man in the Middle).
De tweede verbinding?
Uw browser heeft, grotendeels transparant, een E2EE-verbinding met een Cloudflare server. U heeft géén idee wat voor soort verbinding Cloudflare met de werkelijke website heeft (is dat überhaupt https, en een veilige variant daarvan? Wat doet Cloudflare als het certificaat van de website verlopen is? Etc).
AitM
En zodra een MitM kwaadaardig wordt, noemen we het een AitM (A van Attacker of Adversary).
Trump
Als Trump Cloudflare opdraagt om geen diensten meer aan NL of EU te leveren, werkt hier HELEMAAL NIETS MEER en dondert onze economie als een kaartenhuis in elkaar.
DV-certs
Dat Cloudflare een website-certificaat voor bijvoorbeeld https://vvd.nl of https://cidi.nl heeft verkregen, zou vreemd moeten zijn. Dit is echter een peuleschil "dankzij" DV (Domain Validated) certificaten (het lievelingetje van Google) die het internet steeds onveiliger maken en waar ook onze overheid "voor gevallen is" (zie https://infosec.exchange/@ErikvanStraten/114032329847123742).
Nepwebsites
Maar dit is nog niet alles: steeds meer criminele nepwebsites *verstoppen* zich achter Cloudflare, waar zijzelf (crimineel) geld aan verdient. Zie bijvoorbeeld https://security.nl/posting/876655 (of kijk eens in het "RELATIONS" tabblad van https://www.virustotal.com/gui/ip-address/188.114.96.0/relations en druk enkele keren op •••).
Jaja, der Listenheini wieder. Diesmal hat mich mein Research zu sog. "Text Substition Tools" geführt. Sowas wie #ahk teilweise auch als Browser-Extension. Nich ganz unheikel. Deshalb bin ich auch bei sowas wie #ScamAdviser #Virustotal oder #BrowserAudit vorbei gekommen. Schaut mein kleines erstes Forschungsergebnis:
https://y.lab.nrw/txt-clip (Hedgedoc)
Gerne ergänzen, wie ihr hier gute Lösungen kennt.
To put this in more constructive words: I wish #virustotal would be more helpful to users who may be new to it and give some guidance on how to interpret the results, specifically informing them that false positives are possible.
Maybe a button to report false positives to be inspected and fixed by the vendors would be ideal, providing a way for people to react accordingly to their findings.
As an open source maintainer I find #virustotal mildly annoying. Every few months one of the 70 scanners creates a false positive and someone opens an issue to ask *us* why that is. Well, it's not a virus, it's a faulty virus scanner.There is nothing we can do about that.
@jwijnings : community-based klinkt leuk, maar ik vrees dat dit niet werkt in de praktijk: criminelen zullen er *alles* aan doen om hun sites positief te laten scoren.
PGP is niet voor niets totaal niet schaalbaar gebleken, en criminelen hebben public keys op naam van anderen op publieke keyservers geplaatst - waar de mensen met die namen *niets* tegen kunnen doen.
En een browser-plugin is véél te vrijwillig, dat wordt niks.
Linksom of rechtsom ontkom je er m.i. niet aan om één of meer derde partijen (certificaatuitgevers) te vertrouwen, die (meer of minder betrouwbaar) de identiteit van verantwoordelijken voor websites vaststellen (maar dit moet je beslist niet aan big tech zelf overlaten, zoals nu gebeurt).
De "community" (betrouwbare daaruit, en/of objectieve auditors) zouden vervolgens herhaaldelijk moeten vaststellen hoe betrouwbaar elke *CERTIFICAAT-UITGEVER* is.
• Van elke website waarvan de verantwoordelijke ANONIEM is, moeten browsers dit klip en klaar aangeven (en bij doorklikken op de risico's wijzen.
• Van elke website waarvan de verantwoordelijke NIET anoniem is, moeten browsers het volgende klip en klaar aangeven:
1) wie de verantwoordelijke is
2) hoe betrouwbaar de identiteit van de verantwoordelijke is vastgesteld
3) hoe betrouwbaar de certificaatverstrekker door "de community" voor het laatst werd beoordeeld, wanneer en door wie.
En dit alles met eenvoudig vindbare uitgebreide en duidelijke toeliching waar de internetter rekening mee moet houden, inclusief dat een https websitecertificaat *NIETS* zegt over de betrouwbaarheid van die site en diens eigenaar, maar wel dat je weet HOE BETROUWBAAR je weet WIE DE VERANTWOORDELIJKE is.
Alle info over de verantwoordelijke hoeft niet bij elk bezoek in je gezicht te worden gedrukt, maar in elk geval bij het eerste bezoek van een domeinnaam, en bij elke certificaatswijziging. Geo-info over het actuele IP-adres (vestigingsland) kan ook zinvol zijn.
Om dit effectief uit de grond te stampen, moet de EU elke browsermaker verplichten om dit te faciliteren. Zonder dwang wordt het niks.
P.S. ik weet nu ook een phishing domeinnaam met "google" er in, die zich afgelopen jaar achter Cloudflare verstopte - en was voorzien van een door GOOGLE uitgegeven certificaat.
Het kan big tech echt geen ruk schelen.
De meeste mensen zien het niet, maar met een beetje zoeken ontdek je al snel dat we, bij het internetten, aan het koorddansen zijn - zonder evenwichtsstok en zonder valbescherming.
Via een domeinnaam in https://blog.sekoia.io/targeted-supply-chain-attack-against-chrome-browser-extensions/ vond ik weer een hele reeks IP-adressen in de US en FR met bergen nepsites, met o.a. waadaardige Chrome extensies zoals hieronder te zien is (uit https://www.virustotal.com/gui/domain/chatgptextension.site/relations):
