Cloudflare verify if i am a human

https://any.run/report/e9...80-4d86-965f-711ea4871a63
Edit: Oh, die edit je er net bij.

Ik zou even een Format C-tje doen...


Niet dat je er veel aan hebt nu nog, maar... het was ook wel héél erg naïef om dit zo blind uit te voeren...

Of die site is gehacked, of je had al iets vies binnen dat dat scherm "geinjecteerd" heeft.

[ Voor 58% gewijzigd door RobIII op 23-02-2025 21:55 ]

Nogmaals: Ik gok dat je al ge-hijacked bent in een eerder stadium en dat ze nu proberen je naar 't volgende 'niveau' te trekken. Of je DNS is gehacked (lees: aangepast naar een andere) of je ISP (of welke DNS je gebruikt) heeft een probleem. Dat kan, maar die kans is vele malen kleiner.

Holy shit, dit is best bizar bedacht en moet haast wel een mitm of iets van dns spoof zijn. Ik vraag me echter af hoe ze de payload op jouw clipboard hebben weten te laden, dat is doorgaans niet zo eenvoudig.

Snelle tip; ontkoppel internet vanaf de beteffende pc en maak zsm backups van belangrijke data. Geen idee of iemand anders in een sandbox die url kan controleren.

[ Voor 28% gewijzigd door Junia op 23-02-2025 22:02 ]

Junia schreef op zondag 23 februari 2025 @ 21:59:
Holy shit, dit is best bizar bedacht en moet haast wel een mitm of iets van dns spoof zijn. Ik vraag me echter af hoe ze de payload op jouw clipboard hebben weten te laden, dat is doorgaans niet zo eenvoudig.

Toen ik op het vinkje klikte

Ik denk op deze manier 😉

Junia schreef op zondag 23 februari 2025 @ 21:59:
Holy shit, dit is best bizar bedacht en moet haast wel een mitm of iets van dns spoof zijn. Ik vraag me echter af hoe ze de payload op jouw clipboard hebben weten te laden, dat is doorgaans niet zo eenvoudig.

Vanuit een browser kun je vrij eenvoudig iets op 't clipboard zetten. De truuk is dan dus alleen nog maar iemand zo ver zien te krijgen blind je code uit te voeren. En dat doen ze dus nu (slim) onder een "Verify you are human".

0108daniel schreef op zondag 23 februari 2025 @ 22:01:
Poeh ik heb geen verstand van DNS of routers oid.
Beter om mijn huidige PC Windows opnieuw te installeren of zal dat niet helpen als het vanuit de DNS komt?

De PC waarop je dit hebt uitgevoerd is nu sowieso besmet. Een herinstallatie zal dat wel oplossen en een eventueel aangepaste DNS instelling in je windows ook. Maar als DNS zelf aangepast is... tja, dan zal er iemand bij moeten komen die er meer kaas van gegeten heeft.

Wat gebeurde er nadat je op Enter had gedrukt? Want zo te zien werd er een .msi gedownload. Heb je nog admin rechten moeten geven, een paar keer op "Next" of "Volgende" geklikt of iets moeten OK'en ofzo?

[ Voor 44% gewijzigd door RobIII op 23-02-2025 22:06 ]

0108daniel schreef op zondag 23 februari 2025 @ 22:05:
Moet ik ook mijn wachtwoord van mijn router veranderen?

Vraag jezelf: waarom zou je het niet doen?

Virustotal gaat er ook aardig op aan:
https://www.virustotal.co...f1c9a3c4de43a41aad361b1ac

[ Voor 24% gewijzigd door RobIII op 23-02-2025 22:13 ]

0108daniel schreef op zondag 23 februari 2025 @ 22:24:
Ik zie het inderdaad, zal het wijzigen.
Valt me ook op in Google dat als ik bijvoorbeeld Twakers typ dat er heel veel letters en cijfers achter staan.
Is alleen als ik op Google iets zoek, een directe link is wel gewoon goed.

Doet Google dit altijd of heeft dat er ook mee te maken?
Dus ik ga naar Google.nl en typ 'Tweakers' en klik op enter.
Dan krijg ik deze link: https://www.google.com/se...&sourceid=chrome&ie=UTF-8

Dat is normaal. Niet meteen gaan panieken en overal spoken zien nu.

0108daniel schreef op zondag 23 februari 2025 @ 22:37:
De pc is terug naar fabrieksinstellingen.

Uh, dat is wel HEUL snel voor een schone installatie...

0108daniel schreef op zondag 23 februari 2025 @ 22:37:
Heb de site nog even gecontroleerd, maar daar word nog steeds de cloudflare melding gegeven.
Heel apart, het is best een grote betrouwbare website.

Nu ben ik wel benieuwd naar de site. Wil je me die even DM'en?

0108daniel schreef op zondag 23 februari 2025 @ 22:37:
De pc is terug naar fabrieksinstellingen.

Met behoud van bestanden zeker?
Dan staat de malware er zeker weten nog op.

0108daniel schreef op zondag 23 februari 2025 @ 22:55:
De pc is Windows nog aan het installeren.
Bedoelde ermee dat ik de pc heb teruggezet naar fabrieksinstellingen.
Heb alles laten verwijderen zonder behoud van bestanden.

Het probleem is dat je dan twee keuzes hebt; de ene is de recovery image gebruiken om Windows te herinstalleren, en die kan zomaar besmet zijn. De andere is om Windows weer van het internet te downloaden, maar als je malware hebt dan heb je totaal geen controle over waar die vanaf gehaald wordt (met een DNS MITM en een geïnstalleerd rootcertificaat kan dit gewoon een heel andere server zijn) en wat er dan in die image zit.

De enige manier om dit recht te trekken is netjes vanaf een CD of bestaande USB te downloaden, of even op een andere PC de media creator tool downloaden nadat je hebt bevestigd wat je DNS instellingen zijn op die PC.

@0108daniel Ben je nu ook met een windows device verbonden of iets anders? Je hebt niet wellicht een linux USB stick of vergeten boot partitie op een laptop oid?

Eigenlijk wilje een veilig herstelpunt maken van buiten je eigen Windows netwerk, met zzelf ingestelde DNS servers (wie weet zitten ze in je modem/router.

Geen idee of ze slim genoeg zijn ook een ubuntu live iso te injecteren, maar ik zou daar eerst eens verder op proberen te draaien, maar hoe maak je die USB stick zonder een computer die je kan vertrouwen als ze wel zo slim zijn.
Ik zou de herinstallatie voor nu laten doorlopen maar die computer wel even van Internet weghouden.

Toevallig laatst een youtube over gekeken, mocht je geïnteresseerd zijn in de werking en impact: YouTube: cloudflare.bat

DukeBox schreef op zondag 23 februari 2025 @ 23:37:
Toevallig laatst een youtube over gekeken, mocht je geïnteresseerd zijn in de werking en impact: YouTube: cloudflare.bat

Dit is iets anders; dit downloadt een .msi bestand en voert dat uit.



Verder heb ik even gekeken en het blijkt dat de site die TS bezoekt besmet is. Welke site dat is is even niet relevant. Er lijkt hier dus geen sprake te zijn van DNS issues o.i.d. maar waarschijnlijk een besmette WordPress plugin of template ofzo.

[ Voor 19% gewijzigd door RobIII op 24-02-2025 00:06 ]

RobIII schreef op maandag 24 februari 2025 @ 00:00:
[...]
<>
Verder heb ik even gekeken en het blijkt dat de site die TS bezoekt besmet is. Welke site dat is is even niet relevant. Er lijkt hier dus geen sprake te zijn van DNS issues o.i.d. maar waarschijnlijk een besmette WordPress plugin ofzo.

Dat scheelt een hoop uitzoek werk, snel gedaan.

edit: blijft wel een aparte semi-social hack waar best veel mensen in zullen trappen.

[ Voor 9% gewijzigd door franssie op 24-02-2025 00:09 ]

zou er een verband zijn met de spam op TS zn mobiel?

Mobiel in standby gaat weer aan en laat reclames zien

@0108daniel

Neem niet zo maar elk advies over dat hier gegeven wordt. Die zijn soms nodeloos destructief.

1. Houd de besmette PC voorlopig offline, trek de netwerkstekker eruit. WiFi/Bluetooth uitschakelen.

2. Wijzig het wachtwoord voor al je opgeslagen accounts vanaf een onbesmette computer. Geen raadbare wachtwoorden gebruiken. Dus ook geen volgnummers, namen, geboortedatums, etc.

3. Wat je vervolgens kan doen is de computer scannen vanaf een schone USB stick. Die stick maak je op een andere onbesmette computer. Je boot vanaf de besmette computer vanaf stick, dat voorkomt dat de malware geladen wordt. Het kan even duren voordat antivirussoftware malware herkent. Je zult dus deze actie moeten herhalen.

4. Maak een backup van je persoonlijke gegevens op een andere disk die je tijdelijk via USB aansluit.

5. De gedownloade malware in "c:\users\public\3aw.msi" kun je onschadelijk maken door het te hernoemen naar bijvoorbeeld "3aw.msi.0". Wees voorzichtig, niet op dubbelklikken!

Deze download is een DOCFILE binary (Composite document 2, MSI) en die bevat waarschijnlijk verderde downloads/droppers. De detectiegraad is momenteel erg laag:1x Trojan.HijackLoader!1.12810.

Bestanden met een nieuwe timestamp zijn verdacht. Hernoem die bestanden ook. Opnieuw voorzichtig te werk gaan.

Deze aanvaller gebruikt een bepaalde site sinds een dag of 6:
https://urlscan.io/search/#page.domain%3Abestiamos.com

---

Overigens draait die site wel degelijk via Cloudflare. Dat is dan ook een hoster die bulletproof hosting aanbiedt.

mrmrmr schreef op maandag 24 februari 2025 @ 01:33:
@0108daniel
Deze download is een DOCFILE binary (Composite document 2, MSI) en die bevat waarschijnlijk verderde downloads/droppers. De detectiegraad is momenteel erg laag:1x Trojan.HijackLoader!1.12810.

Juist. Je weet bij God niet wat 't ding nog meer gedownload heeft in de tusssentijd. Hell, dat kan elk moment veranderen; de file die geserveerd wordt kan óók elk moment gewijzigd zijn of worden dus wat je nu geserveerd krijgt hoeft niet hetzelfde te zijn als wat iemand anders een uur of een minuut geleden geserveerd kreeg. En nadat die installer (een MSI file is gewoon een installer, kun je 't wel "DOCFILE binary blabla" noemen...) z'n werk heeft gedaan kan die 1 maar ook 400 "vriendjes" gedownload hebben die elk weer hun eigen ding doen. En, ja, je kunt die ene file wel weghalen (waarom zou je 'm "onschadelijk" maken door 'm te hernoemen ipv domweg te verwijderen?) maar daarmee laat je potentieel tientallen, zo niet meer, anderen nog steeds staan (vals gevoel van veiligheid).

Als het goed is - zo hóórt het - heb je een backup van je documenten. Bestanden die je nu nog overhevelt van het besmette systeem naar een USB stick of externe drive besmetten potentieel een herinstalleerd systeem opnieuw. Kijk daar dus mee uit - als het niet nodig is doe je dat niet. Heb je geen backup van die bestanden dan zet je ze apart op een USB stick of externe drive en vertrouw je ze voor geen meter totdat je ze door een (fatsoenlijke!) virusscanner of 2 hebt gehaald.

Bestanden met een nieuwe timestamp zijn verdacht. Hernoem die bestanden ook. Opnieuw voorzichtig te werk gaan.

Je PC bevat duizenden files, er worden continue nieuwe (temp- en overige) files gemaakt; je gaat die toch niet allemaal doorspitten neem ik aan? (Ja, het kán... maar mis er ééntje en laat dat nou toevallig ook een trojan zijn en dan haalt die vrolijk wéér 400 vriendjes binnen als je ligt te pitten).
Nee, nadat je besmet bent met een trojan is het beste advies gewoon je systeem nuken en een herinstallatie doen. Kan het ook op jouw manier? Absoluut, zeker weten. Is dat de beste manier? Niet als je 't mij vraagt.

[ Voor 3% gewijzigd door RobIII op 24-02-2025 03:19 ]

0108daniel schreef op zondag 23 februari 2025 @ 21:55:
[...]
Het gekke is dat de site wel goed werkt via mobiel en ik die melding daar niet krijg.

Dat komt omdat men detecteert dat je een mobiel/non-Windows device gebruikt waarbij je de handeling niet uit kan voeren. Dus om detectie te verkleinen serveren ze de payload dan simpelweg niet.

Je hebt er weinig aan, maar ik heb een waarschuwing hiervoor vorige week of de week ervoor al op LinkedIn voorbij zien komen. Dacht toen dat het niet zo'n vaart zou lopen, maar blijkbaar dus wel. Voor nu heb ik maar een nieuwe waarschuwing voor mijn vrienden op facebook gemaakt en het zelf ook in mijn LinkedIn feed gezet.

0108daniel schreef op maandag 24 februari 2025 @ 10:32:
Dankje voor de uitgebreide uitleg.
De c:\users\public\3aw.msi met name het '3aw.msi 'bestand zie ik niet staan.

Had je geen herinstallatie gedaan?

0108daniel schreef op maandag 24 februari 2025 @ 11:51:
Jazeker, de herinstallatie is gedaan.

Dan staat dat bestand er natuurlijk ook niet

0108daniel schreef op zondag 23 februari 2025 @ 21:55:
[...]


Het gekke is dat de site wel goed werkt via mobiel en ik die melding daar niet krijg.
Op een andere laptop krijg ik ook de cloudflare melding, maar daar heb ik uiteraard die code niet ingevuld.

Dat gedrag is "normaal".
Ze kijken naar de zogenaamde user-agent. Elke browser verteld bij het opzetten van de verbinding naar de webserver wie en wat hij is.

Omdat je geen commando's uit kan voeren op een mobiele telefoon, hebben ze de webserver zo geconfigureerd dat deze melding enkel wordt weergegeven op een (Windows) PC.

Ahh, ikke blij dat ik gisteravond een flink aantal nieuwe sites in mijn pihole blocklists heb gezet:

Match found in https://raw.githubusercon...-30day_adblock_part1.txt: ||bestiamos.com^

Da's een lijst met domeinen die in de afgelopen 30 dagen zijn geregistreerd (2 delen). Zie voor meer info: https://github.com/xRuffKez/NRD Lijsten komen in formaten voor veel blockers.

0108daniel schreef op donderdag 27 februari 2025 @ 00:25:
[...]


Kwam de video al tegen.
Jammer dat er niet word gezegd wat die command dan precies doet.
Er word gezegd 'kan vanalles zijn' wellicht weten ze niet wat het doet?
Het is dan lastig om je daartegen te beschermen (als je die code heb uitgevoerd) als niet bekend is wat het doet.
De PC is volledig opnieuw geïnstalleerd, dus dat 'virus/maleware' zit er hopelijk niet meer in.

Het beschermen moet echt wel bij "voer niet zomaar code uit" zijn. Daarna is alles mogelijk. Wat deze executable precies doet is niet heel relevant. Een systeem waar zoiets op is uitgevoerd zou ik niet meer vertrouwen zonder een herinstallatie.

0108daniel schreef op donderdag 27 februari 2025 @ 00:25:
Er word gezegd 'kan vanalles zijn' wellicht weten ze niet wat het doet?

Nee, het kan gewoon vanalles zijn. Het is maar net wat ze op je clipboard zetten. Wat het is en wat het doet kun je eenvoudig zien; je hebt zelf al een voorbeeld in je topicstart gezet. Iedereen die een beetje cmd/powershell kan lezen zal zien wat het doet. In jouw geval een bestand downloaden en uitvoeren. Wat dat bestand dan weer, op zijn beurt doet... kan vanalles zijn

De scam is al wat langer bekend, maar lijkt wat aan populariteit te winnen: https://www.forbes.com/si...for-millions-of-pc-users/

Je weet inderdaad niet zeker wat de hackers installeren, maar aangezien die ongerichte scams zijn en er geld wordt uitgegeven om ze uit te voeren, mag je aannemen dat er uiteindelijk voor de criminelen iets van financieel gewin achter moet zitten. Meest waarschijnlijke: infostealer malware.

Kortom, sla je wachtwoorden op in de browser, dan is er een grote kans dat die nu op het dark web staan en verkocht worden. Tip: sla geen wachtwoorden op de browser maar gebruik een ww-manager.