2026-04-06 (Monday): #ClickFix activity from the #SmartApeSG campaign. Not sure what malware was sent through the fake CAPTCHA page is this time, but it's not the usual.

A list of indicators, a #pcap of the traffic, malware samples and other files/info are available at https://malware-traffic-analysis.net/2026/04/06/index.html

From this month's newsletter: A tip about pcap-minimizer, handy for debugging scripts and analyzers:

https://community.zeek.org/t/zeek-newsletter-issue-60-february-2026/7953

#Zeek #PCAP #NetworkSecurity #OpenSource

Российский мессенджер MAX замечен в обращении к иностранным сервисам определения IP и серверам конкурентов

Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта . Схема была довольно прямолинейной: в одном случае использовали PCAPdroid - приложение, которое на Android-устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root-прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был “чистый”, без установленных других мессенджеров и дополнительного софта. По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP-адреса, причём часть из них - зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы.

https://habr.com/ru/articles/1006394/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1006394

#max #макс #мессенджер #android #pcapdroid #pcap #vpn #прокси #geoip

Российский мессенджер MAX замечен в обращении к иностранным сервисам определения IP и серверам конкурентов

Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта . Схема была довольно прямолинейной: в одном случае использовали PCAPdroid - приложение, которое на Android-устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root-прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был “чистый”, без установленных других мессенджеров и дополнительного софта. По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP-адреса, причём часть из них - зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы.

https://habr.com/ru/articles/1006394/

#max #макс #мессенджер #android #pcapdroid #pcap #vpn #прокси #geoip

Babyshark – Wireshark made easy (terminal UI for PCAPs)

https://github.com/vignesh07/babyshark

#HackerNews #Babyshark #Wireshark #PCAP #terminalUI #networkanalysis

Was bored of the looks of vnstat, cacti and co.

And wanted a MacOS Swiftbar integration for the current bandwidth. So I coded some stuff.

https://github.com/awlx/bandwidth-monitor

Enjoy!

#PCAP #Golang #network #linux

2026-02-03 (Tuesday): #GuLoader for #AgentTesla style malware with FTP data exfiltration.

A #pcap of the infection traffic, associated files, and a list of indicators are available at https://www.malware-traffic-analysis.net/2026/02/03/index.html

Two online sandboxes tag this sample as AgentTesla, but I'm not sure what the actual name of this malware is.

- https://tria.ge/260203-tvhlyahx7c
- https://app.any.run/tasks/0840196f-2b8f-415c-8ca7-af0c8f394b0d