Edit tour

Windows Analysis Report
https://sites.google.com/view/rfdzxgffg/home

Overview

General Information

Sample URL:https://sites.google.com/view/rfdzxgffg/home
Analysis ID:1636461
Infos:

Detection

Score:48
Range:0 - 100
Confidence:100%

Signatures

AI detected suspicious Javascript
AI detected suspicious URL
Creates files inside the system directory
Deletes files inside the Windows folder

Classification

RansomwareSpreadingPhishingBankerTrojan / BotAdwareSpywareExploiterEvaderMinercleansuspiciousmalicious
  • System is w10x64_ra
  • chrome.exe (PID: 6868 cmdline: "C:\Program Files\Google\Chrome\Application\chrome.exe" --start-maximized "about:blank" MD5: E81F54E6C1129887AEA47E7D092680BF)
    • chrome.exe (PID: 7096 cmdline: "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --lang=en-US --service-sandbox-type=none --no-pre-read-main-dll --field-trial-handle=2052,i,6869364269471530402,5794324820952644985,262144 --disable-features=OptimizationGuideModelDownloading,OptimizationHints,OptimizationHintsFetching,OptimizationTargetPrediction --variations-seed-version --mojo-platform-channel-handle=1600 /prefetch:3 MD5: E81F54E6C1129887AEA47E7D092680BF)
  • chrome.exe (PID: 984 cmdline: "C:\Program Files\Google\Chrome\Application\chrome.exe" "https://sites.google.com/view/rfdzxgffg/home" MD5: E81F54E6C1129887AEA47E7D092680BF)
  • cleanup
No yara matches
No Sigma rule has matched
No Suricata rule has matched

Click to jump to signature section

Show All Signature Results

Phishing

barindex
Source: 1.44.d.script.csvJoe Sandbox AI: Detected suspicious JavaScript with source url: anonymous function... This script exhibits several high-risk behaviors, including dynamic code execution, data exfiltration, and obfuscated code. It attempts to collect sensitive information like user agent, platform, and error details, and sends this data to an unknown domain. The script also attempts to clear the DOM and set an interval, which could be used for further malicious activities. Overall, this script demonstrates a high level of suspicious and potentially malicious behavior.
Source: https://youtube.mx%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%EF%BB%BF%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20@rexfordmgmt.comJoe Sandbox AI: The URL 'youtube.mx' closely resembles the legitimate YouTube domain 'youtube.com', with the only difference being the top-level domain (TLD) '.mx' instead of '.com'. This TLD change is a common tactic in typosquatting to mislead users. The presence of random numbers and MD5 hashes in the URL path is unusual and suggests an attempt to obfuscate the URL, which is a common characteristic of phishing or malicious sites. The use of a well-known brand name like 'YouTube' in conjunction with these elements increases the likelihood of user confusion. The domain 'rexfordmgmt.com' in the email address does not appear to have a direct connection to YouTube, further suggesting potential malicious intent. However, without additional context, it's possible that 'youtube.mx' could be used for a legitimate purpose unrelated to typosquatting, but the overall structure and elements strongly suggest a high likelihood of typosquatting.
Source: https://sites.google.com/view/rfdzxgffg/homeHTTP Parser: No favicon
Source: https://sites.google.com/view/rfdzxgffg/homeHTTP Parser: No favicon
Source: https://sites.google.com/view/rfdzxgffg/homeHTTP Parser: No favicon
Source: https://sites.google.com/view/rfdzxgffg/homeHTTP Parser: No favicon
Source: https://sites.google.com/view/rfdzxgffg/homeHTTP Parser: No favicon
Source: https://sites.google.com/view/rfdzxgffg/homeHTTP Parser: No favicon
Source: https://sites.google.com/view/rfdzxgffg/homeHTTP Parser: No favicon
Source: https://youtube.mx%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%EF%BB%BF%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20...HTTP Parser: No favicon
Source: https://youtube.mx%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%EF%BB%BF%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20...HTTP Parser: No favicon
Source: https://youtube.mx%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%EF%BB%BF%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20...HTTP Parser: No favicon
Source: https://youtube.mx%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%EF%BB%BF%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20...HTTP Parser: No favicon
Source: unknownTCP traffic detected without corresponding DNS query: 20.12.23.50
Source: unknownTCP traffic detected without corresponding DNS query: 20.12.23.50
Source: unknownTCP traffic detected without corresponding DNS query: 20.12.23.50
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownTCP traffic detected without corresponding DNS query: 204.79.197.203
Source: unknownTCP traffic detected without corresponding DNS query: 204.79.197.203
Source: unknownTCP traffic detected without corresponding DNS query: 204.79.197.203
Source: unknownTCP traffic detected without corresponding DNS query: 204.79.197.203
Source: unknownTCP traffic detected without corresponding DNS query: 204.79.197.203
Source: unknownTCP traffic detected without corresponding DNS query: 52.182.143.211
Source: unknownTCP traffic detected without corresponding DNS query: 52.182.143.211
Source: unknownTCP traffic detected without corresponding DNS query: 204.79.197.203
Source: unknownTCP traffic detected without corresponding DNS query: 52.182.143.211
Source: unknownTCP traffic detected without corresponding DNS query: 52.182.143.211
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownTCP traffic detected without corresponding DNS query: 52.182.143.211
Source: unknownTCP traffic detected without corresponding DNS query: 52.182.143.211
Source: unknownTCP traffic detected without corresponding DNS query: 204.79.197.203
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownTCP traffic detected without corresponding DNS query: 52.182.143.211
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownTCP traffic detected without corresponding DNS query: 2.16.100.168
Source: unknownTCP traffic detected without corresponding DNS query: 2.16.100.168
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknownUDP traffic detected without corresponding DNS query: 1.1.1.1
Source: global trafficHTTP traffic detected: HTTP/1.1 200 OKServer: nginxContent-Type: application/pkix-certLast-Modified: Wed, 01 May 2024 21:14:12 GMTETag: "6632b0a4-50a"Content-Disposition: attachment; filename="R11.der"Accept-Ranges: bytesVary: Accept-EncodingContent-Encoding: gzipContent-Length: 1243Cache-Control: max-age=3600Expires: Wed, 12 Mar 2025 19:23:47 GMTDate: Wed, 12 Mar 2025 18:23:47 GMTConnection: keep-aliveData Raw: 1f 8b 08 00 00 00 00 00 00 00 33 68 62 65 33 68 62 7a b7 80 99 89 91 89 49 90 a1 ab d6 4e f8 9a be c1 7b e5 b6 bd 9a ec d9 26 3f 0c 78 d9 38 b5 da 3c da be f3 32 32 72 b3 32 18 f8 1b 72 1b 70 b2 31 87 b2 b0 09 33 85 06 1b 6a 1a a8 83 38 5c c2 0a 9e 79 25 a9 45 79 a9 25 0a c1 a9 c9 a5 45 99 25 95 0a 41 a9 c5 a9 89 45 c9 19 0a ee 45 f9 a5 05 86 a2 06 c2 20 a5 cc c2 3c 9e c1 41 ee 0a 41 f9 f9 25 0a 11 86 06 72 e2 bc 46 26 06 c6 86 c6 06 60 10 05 e4 9a 03 b9 46 46 c6 a6 96 a6 96 51 40 26 8a 85 62 06 22 10 0b 79 7d 52 4b d4 8b 15 5c f3 92 8b 2a 0b 4a 0c 79 0c b8 20 a6 33 07 19 1a 1a 34 31 2a 21 3b 9c 91 95 81 b9 89 91 9f 01 28 ce c5 d4 c4 c8 c8 b0 ab 7d 4f 8c 34 83 e5 e9 53 5c 67 af a4 0b fc 64 b4 59 ea b7 34 f1 b4 da a9 a0 df a2 8c db 77 6a 7c d5 90 7b ab be 59 45 c2 32 9d 93 87 e3 cd 03 ab 0d d6 e5 7c 7b 3f 3f b5 0c 71 e4 f1 5b e7 78 6d 66 c9 bd c0 db ef ab ff 47 ec 5d b1 5d f8 db 3d c3 ab 9f 8a 4e 16 65 71 37 97 4c 9d e3 c6 90 22 32 f3 f3 c6 9b 4a 37 cf ae 98 b4 4a 46 ad ca fe df fb 08 d6 6a 8e a9 8d b7 0b f9 fb 7e 3f 36 e4 dc cd b9 2f c0 37 be 7f 62 99 6d d4 dc 79 cd 9f 5e 1e 49 db fc 90 2d cd d9 43 a2 21 75 81 b9 c4 ac d9 2d 46 d3 37 6e da 7b e4 87 28 c3 5c f5 8e df 8f 92 c5 a7 e5 cc 56 4f f7 3e 72 5b 23 2e f3 50 e5 07 cf 98 07 2a 01 0f 8f ec 59 c8 ba a6 da 21 97 61 cb 21 47 fb e5 11 3b f4 8f c6 cc 5e ba 9b 73 de c7 7f af 37 b4 5a fe 5d c1 f5 de f5 48 c5 eb 54 ad 43 e7 e3 6d ee 3d 8e f1 95 fe ce ad ae bd 8a db a9 3c d8 bf 32 4b b6 fd 26 13 33 23 03 e3 e2 c6 1f 06 8d 5f 0d f8 80 e1 26 cb cf c8 f8 9f 85 05 98 06 da 0c 64 41 7c 55 16 50 40 73 68 b3 31 b2 b2 b2 33 33 c1 59 8c 06 42 20 69 61 90 72 0e 03 36 20 c5 c4 c8 00 d1 c2 c7 22 c6 22 72 f4 bc db 92 57 5f 0e 1f a8 ca 99 7a 44 77 43 dc 24 7d b5 c7 3b 0d e4 41 d2 ca 2c 12 06 62 0d 22 95 5b 22 9f 55 6f 7b fa 84 b1 b8 81 a3 e3 84 54 c4 b7 97 b3 f3 0c 8c 60 e6 33 32 b2 a8 19 a8 18 28 c1 f8 06 4c 6d 62 19 25 25 05 56 fa fa 15 86 7a 99 7a 39 a9 c0 e8 d6 cb 2f 4a d7 07 27 26 59 05 16 60 bc 1b 70 b0 b1 a5 37 f2 30 32 31 82 13 a3 ac 3c 8b 82 81 9c 81 cc 02 a9 05 12 c8 ba 93 91 75 a3 a6 6a e6 26 a0 2f fc 1e 75 c6 72 31 cb 4c b0 b8 f0 55 fe 67 61 cc 8f c3 fd 9b cc 3b aa f2 37 a8 ca bf dd b7 fd 46 1b 5b df 4b ce 96 b3 45 fb 1b 3f ff 39 75 3e d8 e3 ed de 6f 99 4e 57 96 0a da 99 9e 10 de 34 49 96 35 fe 95 de 95 1b 3f 3c 0f af fd 3a 73 da 9c f7 6a 37 1e 6e 51 e1 f6 50 f0 fd 73 39 64 cb ca 63 8a 27 1e 9a 49 ff 2f 4f d1 14 df f9 c1 fb 7d ec ab b3 95 17 f6 4f d8 bf 4f 79 d3 84 5b 5e 2b 3d 0c 4b Data Ascii: 3hbe3hbzIN{&?x8<22r2rp13j8\y%Ey%E
Source: global trafficHTTP traffic detected: GET /js/client.js?onload=gapiLoaded HTTP/1.1Host: apis.google.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*X-Client-Data: CLbgygE=Sec-Fetch-Site: same-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptReferer: https://sites.google.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9Cookie: NID=522=FTxzVnpg8ivA6Ax4atYUKseFL6ChN3kEalsW9m8vY0DTNf3mtRs98-R7WpMoH94Xv4pOpiiZHHWCqiWnArX6yz7WLnAdY4vYv6t4d1UWIyiwJQioMs03tYQbTgGiuPBIUaGL01-vqiPfR06bdJSvLKCCaCiCm-1s5GTGLAZK5-k3k84C0BfjRUImW5bulUg6OQ
Source: global trafficHTTP traffic detected: GET /W9YGFvHZB4gmIi6g9mRTBfn6cqSDof6YJpoyhPpYKpkwBi2yp0D-DIJ-iEXT9LmgupLtpNOxUGU-fTeDt_aXXcE=w16383 HTTP/1.1Host: lh5.googleusercontent.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8X-Client-Data: CLbgygE=Sec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: imageSec-Fetch-Storage-Access: activeReferer: https://sites.google.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /_/scs/abc-static/_/js/k=gapi.lb.en.z-CF99wuLeU.O/m=client/rt=j/sv=1/d=1/ed=1/rs=AHpOoo8yJLmK2FeQzRT4hxPn9_NEJo9eCg/cb=gapi.loaded_0?le=scs HTTP/1.1Host: apis.google.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*X-Client-Data: CLbgygE=Sec-Fetch-Site: same-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptReferer: https://sites.google.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9Cookie: NID=522=FTxzVnpg8ivA6Ax4atYUKseFL6ChN3kEalsW9m8vY0DTNf3mtRs98-R7WpMoH94Xv4pOpiiZHHWCqiWnArX6yz7WLnAdY4vYv6t4d1UWIyiwJQioMs03tYQbTgGiuPBIUaGL01-vqiPfR06bdJSvLKCCaCiCm-1s5GTGLAZK5-k3k84C0BfjRUImW5bulUg6OQ
Source: global trafficHTTP traffic detected: GET /W9YGFvHZB4gmIi6g9mRTBfn6cqSDof6YJpoyhPpYKpkwBi2yp0D-DIJ-iEXT9LmgupLtpNOxUGU-fTeDt_aXXcE=w16383 HTTP/1.1Host: lh5.googleusercontent.comConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: */*X-Client-Data: CLbgygE=Sec-Fetch-Site: noneSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeAccept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /_/scs/abc-static/_/js/k=gapi.lb.en.z-CF99wuLeU.O/m=gapi_rpc/exm=client/rt=j/sv=1/d=1/ed=1/rs=AHpOoo8yJLmK2FeQzRT4hxPn9_NEJo9eCg/cb=gapi.loaded_1?le=scs HTTP/1.1Host: apis.google.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*X-Client-Data: CLbgygE=Sec-Fetch-Site: same-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptReferer: https://sites.google.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9Cookie: NID=522=FTxzVnpg8ivA6Ax4atYUKseFL6ChN3kEalsW9m8vY0DTNf3mtRs98-R7WpMoH94Xv4pOpiiZHHWCqiWnArX6yz7WLnAdY4vYv6t4d1UWIyiwJQioMs03tYQbTgGiuPBIUaGL01-vqiPfR06bdJSvLKCCaCiCm-1s5GTGLAZK5-k3k84C0BfjRUImW5bulUg6OQ
Source: global trafficHTTP traffic detected: GET /auth_warmup HTTP/1.1Host: drive.google.comConnection: keep-alivesec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0sec-ch-ua-platform: "Windows"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7X-Browser-Channel: stableX-Browser-Year: 2025X-Browser-Validation: wTKGXmLo+sPWz1JKKbFzUyHly1Q=X-Browser-Copyright: Copyright 2025 Google LLC. All rights reserved.X-Client-Data: CLbgygE=Sec-Fetch-Site: same-siteSec-Fetch-Mode: navigateSec-Fetch-Dest: iframeReferer: https://sites.google.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9Cookie: NID=522=FTxzVnpg8ivA6Ax4atYUKseFL6ChN3kEalsW9m8vY0DTNf3mtRs98-R7WpMoH94Xv4pOpiiZHHWCqiWnArX6yz7WLnAdY4vYv6t4d1UWIyiwJQioMs03tYQbTgGiuPBIUaGL01-vqiPfR06bdJSvLKCCaCiCm-1s5GTGLAZK5-k3k84C0BfjRUImW5bulUg6OQ
Source: global trafficHTTP traffic detected: GET /log?format=json&hasfast=true&authuser=0 HTTP/1.1Host: play.google.comConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: */*X-Client-Data: CLbgygE=Sec-Fetch-Site: noneSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeAccept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9Cookie: NID=522=oXxT0P8FjcJKxLiCvncn1cH8UL7AG67sfgHfIzBL8j8YLTcWqiOk6E26c84MfcU97YYDHUw6XOCgV0CRiRKY0FOfu3JNTDm8PKPTz7noOqhzaLvl129qgragCCSAW476a7WH9xk3y3TFBv22BdmySDyS5gsFt16fS7gn7Z-H74OnasrVCuSa-q9X8JtSMLfXWgj3Nxx3og
Source: global trafficHTTP traffic detected: GET /js/api.js?checkCookie=1 HTTP/1.1Host: apis.google.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*X-Client-Data: CLbgygE=Sec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptSec-Fetch-Storage-Access: activeReferer: https://www.gstatic.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9Cookie: NID=522=oXxT0P8FjcJKxLiCvncn1cH8UL7AG67sfgHfIzBL8j8YLTcWqiOk6E26c84MfcU97YYDHUw6XOCgV0CRiRKY0FOfu3JNTDm8PKPTz7noOqhzaLvl129qgragCCSAW476a7WH9xk3y3TFBv22BdmySDyS5gsFt16fS7gn7Z-H74OnasrVCuSa-q9X8JtSMLfXWgj3Nxx3og
Source: global trafficHTTP traffic detected: GET /log?format=json&hasfast=true&authuser=0 HTTP/1.1Host: play.google.comConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: */*X-Client-Data: CLbgygE=Sec-Fetch-Site: noneSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeAccept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9Cookie: NID=522=gRvIuHdSHYwX-aLzULp0kySWanaU6FF6uvJ1JLNsGH68H9eUbYEmJBfi3hqZQdjhScs0eTAUlu2JeG9woaVhhJIZEUeU8_I_ORF9_degajWkjGKde9FtW6A3YVHYPRyxP45Axp7w8lveBeI5IkY1J_BF63OavatGJPtbwmxiD2PdxUGW4SL1HIWvSBboAbTf2yHf3EGnAw
Source: global trafficHTTP traffic detected: GET /_/scs/abc-static/_/js/k=gapi.lb.en.z-CF99wuLeU.O/m=gapi_rpc/rt=j/sv=1/d=1/ed=1/rs=AHpOoo8yJLmK2FeQzRT4hxPn9_NEJo9eCg/cb=gapi.loaded_0?le=scs HTTP/1.1Host: apis.google.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*X-Client-Data: CLbgygE=Sec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptSec-Fetch-Storage-Access: activeReferer: https://www.gstatic.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9Cookie: NID=522=gRvIuHdSHYwX-aLzULp0kySWanaU6FF6uvJ1JLNsGH68H9eUbYEmJBfi3hqZQdjhScs0eTAUlu2JeG9woaVhhJIZEUeU8_I_ORF9_degajWkjGKde9FtW6A3YVHYPRyxP45Axp7w8lveBeI5IkY1J_BF63OavatGJPtbwmxiD2PdxUGW4SL1HIWvSBboAbTf2yHf3EGnAw
Source: global trafficHTTP traffic detected: GET /embeds/16cb204cf3a9d4d223a0a3fd8b0eec5d/inner-frame-minified.html?jsh=m%3B%2F_%2Fscs%2Fabc-static%2F_%2Fjs%2Fk%3Dgapi.lb.en.z-CF99wuLeU.O%2Fd%3D1%2Frs%3DAHpOoo8yJLmK2FeQzRT4hxPn9_NEJo9eCg%2Fm%3D__features__ HTTP/1.1Host: 1866650998-atari-embeds.googleusercontent.comConnection: keep-alivesec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0sec-ch-ua-platform: "Windows"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7X-Browser-Channel: stableX-Browser-Year: 2025X-Browser-Validation: wTKGXmLo+sPWz1JKKbFzUyHly1Q=X-Browser-Copyright: Copyright 2025 Google LLC. All rights reserved.X-Client-Data: CLbgygE=Sec-Fetch-Site: cross-siteSec-Fetch-Mode: navigateSec-Fetch-Dest: iframeSec-Fetch-Storage-Access: activeReferer: https://www.gstatic.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /ajax/libs/jquery/3.5.1/jquery.min.js HTTP/1.1Host: cdnjs.cloudflare.comConnection: keep-aliveOrigin: https://1866650998-atari-embeds.googleusercontent.comsec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*Sec-Fetch-Site: cross-siteSec-Fetch-Mode: corsSec-Fetch-Dest: scriptReferer: https://1866650998-atari-embeds.googleusercontent.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /turnstile/v0/api.js?compat=recaptcha HTTP/1.1Host: challenges.cloudflare.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*Sec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptSec-Fetch-Storage-Access: activeReferer: https://1866650998-atari-embeds.googleusercontent.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /img/cf-bg.jpg HTTP/1.1Host: www.cloudflare.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8Sec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: imageSec-Fetch-Storage-Access: activeReferer: https://1866650998-atari-embeds.googleusercontent.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /turnstile/v0/g/f3b948d8acb8/api.js HTTP/1.1Host: challenges.cloudflare.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*Sec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptSec-Fetch-Storage-Access: activeReferer: https://1866650998-atari-embeds.googleusercontent.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /turnstile/v0/api.js?onload=onloadTurnstileCallback HTTP/1.1Host: challenges.cloudflare.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*Sec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptSec-Fetch-Storage-Access: activeReferer: https://rexfordmgmt.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /turnstile/v0/g/f3b948d8acb8/api.js HTTP/1.1Host: challenges.cloudflare.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*Sec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptSec-Fetch-Storage-Access: activeReferer: https://rexfordmgmt.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET / HTTP/1.1Host: r11.i.lencr.orgConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/turnstile/if/ov2/av0/rcv/r0wdh/0x4AAAAAABAWpDNGFcLHjIgp/auto/fbE/new/normal/auto/ HTTP/1.1Host: challenges.cloudflare.comConnection: keep-alivesec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0sec-ch-ua-platform: "Windows"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Sec-Fetch-Site: cross-siteSec-Fetch-Mode: navigateSec-Fetch-Dest: iframeSec-Fetch-Storage-Access: activeReferer: https://rexfordmgmt.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/orchestrate/chl_api/v1?ray=91f553666d02e994&lang=auto HTTP/1.1Host: challenges.cloudflare.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*Sec-Fetch-Site: same-originSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptSec-Fetch-Storage-Access: activeReferer: https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/turnstile/if/ov2/av0/rcv/r0wdh/0x4AAAAAABAWpDNGFcLHjIgp/auto/fbE/new/normal/auto/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/cmg/1 HTTP/1.1Host: challenges.cloudflare.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8Sec-Fetch-Site: same-originSec-Fetch-Mode: no-corsSec-Fetch-Dest: imageSec-Fetch-Storage-Access: activeReferer: https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/turnstile/if/ov2/av0/rcv/r0wdh/0x4AAAAAABAWpDNGFcLHjIgp/auto/fbE/new/normal/auto/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/cmg/1 HTTP/1.1Host: challenges.cloudflare.comConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: */*Sec-Fetch-Site: noneSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeAccept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/flow/ov1/1009269674:1741793396:6cqYY01dQePZRP2K0ILuH4MEq6IRcOpBlSGLL5JnK8g/91f553666d02e994/EFsinGazBt9lngyQaP6YxG3isewK6SpPZM2BA9rs4d0-1741803838-1.1.1.1-1WuGctAh_HxJAUxCJoKuP_HhPWWXc4F2E1QaoF2tZfW.rHCWOw2Sl3C7A0NhQlr1 HTTP/1.1Host: challenges.cloudflare.comConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: */*Sec-Fetch-Site: noneSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeAccept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/d/91f553666d02e994/1741803844478/cTSdaE2UKD7dbNQ HTTP/1.1Host: challenges.cloudflare.comConnection: keep-alivesec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8Sec-Fetch-Site: same-originSec-Fetch-Mode: no-corsSec-Fetch-Dest: imageSec-Fetch-Storage-Access: activeReferer: https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/turnstile/if/ov2/av0/rcv/r0wdh/0x4AAAAAABAWpDNGFcLHjIgp/auto/fbE/new/normal/auto/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/pat/91f553666d02e994/1741803844479/9ce3f8aba3a3413914e3db4a243b5c7bb4196a83e47a4834e155d5b10ce73b9e/sLU5VthFGL6cWut HTTP/1.1Host: challenges.cloudflare.comConnection: keep-aliveCache-Control: max-age=0sec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"sec-ch-ua-mobile: ?0Accept: */*Sec-Fetch-Site: same-originSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeReferer: https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/turnstile/if/ov2/av0/rcv/r0wdh/0x4AAAAAABAWpDNGFcLHjIgp/auto/fbE/new/normal/auto/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/d/91f553666d02e994/1741803844478/cTSdaE2UKD7dbNQ HTTP/1.1Host: challenges.cloudflare.comConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: */*Sec-Fetch-Site: noneSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeAccept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/flow/ov1/1009269674:1741793396:6cqYY01dQePZRP2K0ILuH4MEq6IRcOpBlSGLL5JnK8g/91f553666d02e994/EFsinGazBt9lngyQaP6YxG3isewK6SpPZM2BA9rs4d0-1741803838-1.1.1.1-1WuGctAh_HxJAUxCJoKuP_HhPWWXc4F2E1QaoF2tZfW.rHCWOw2Sl3C7A0NhQlr1 HTTP/1.1Host: challenges.cloudflare.comConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: */*Sec-Fetch-Site: noneSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeAccept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: GET /cdn-cgi/challenge-platform/h/g/flow/ov1/1009269674:1741793396:6cqYY01dQePZRP2K0ILuH4MEq6IRcOpBlSGLL5JnK8g/91f553666d02e994/EFsinGazBt9lngyQaP6YxG3isewK6SpPZM2BA9rs4d0-1741803838-1.1.1.1-1WuGctAh_HxJAUxCJoKuP_HhPWWXc4F2E1QaoF2tZfW.rHCWOw2Sl3C7A0NhQlr1 HTTP/1.1Host: challenges.cloudflare.comConnection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36Accept: */*Sec-Fetch-Site: noneSec-Fetch-Mode: corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeAccept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficDNS traffic detected: DNS query: csp.withgoogle.com
Source: global trafficDNS traffic detected: DNS query: apis.google.com
Source: global trafficDNS traffic detected: DNS query: www.google.com
Source: global trafficDNS traffic detected: DNS query: lh5.googleusercontent.com
Source: global trafficDNS traffic detected: DNS query: play.google.com
Source: global trafficDNS traffic detected: DNS query: drive.google.com
Source: global trafficDNS traffic detected: DNS query: 1866650998-atari-embeds.googleusercontent.com
Source: global trafficDNS traffic detected: DNS query: cdnjs.cloudflare.com
Source: global trafficDNS traffic detected: DNS query: challenges.cloudflare.com
Source: global trafficDNS traffic detected: DNS query: www.cloudflare.com
Source: global trafficDNS traffic detected: DNS query: rexfordmgmt.com
Source: global trafficDNS traffic detected: DNS query: r11.i.lencr.org
Source: global trafficDNS traffic detected: DNS query: a.nel.cloudflare.com
Source: global trafficDNS traffic detected: DNS query: google.com
Source: global trafficDNS traffic detected: DNS query: beacons.gcp.gvt2.com
Source: global trafficDNS traffic detected: DNS query: beacons.gvt2.com
Source: global trafficDNS traffic detected: DNS query: beacons2.gvt2.com
Source: global trafficDNS traffic detected: DNS query: ita123.com
Source: global trafficDNS traffic detected: DNS query: beacons3.gvt2.com
Source: unknownHTTP traffic detected: POST /csp/proto/6b8ce7c01e3dacd3d2c7a8cd322ff979 HTTP/1.1Host: csp.withgoogle.comConnection: keep-aliveContent-Length: 56sec-ch-ua-platform: "Windows"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36sec-ch-ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"Content-Type: text/plain;charset=UTF-8sec-ch-ua-mobile: ?0Accept: */*Origin: https://sites.google.comSec-Fetch-Site: cross-siteSec-Fetch-Mode: no-corsSec-Fetch-Dest: emptySec-Fetch-Storage-Access: activeReferer: https://sites.google.com/Accept-Encoding: gzip, deflate, br, zstdAccept-Language: en-US,en;q=0.9
Source: global trafficHTTP traffic detected: HTTP/1.1 404 Not FoundDate: Wed, 12 Mar 2025 18:23:34 GMTContent-Type: text/plain; charset=UTF-8Content-Length: 12Connection: closeStrict-Transport-Security: max-age=31536000; includeSubDomainsPermissions-Policy: geolocation=(), camera=(), microphone=()Referrer-Policy: strict-origin-when-cross-originX-Content-Type-Options: nosniffX-Frame-Options: SAMEORIGINX-XSS-Protection: 1; mode=blockSet-Cookie: __cf_bm=SEaMox_KZhMA3Xez3IoUdJJ9rS1I5AFUIXtcwDKEmic-1741803814-1.0.1.1-u9yeX6mdZpdHhjZGBFWPNmjbnGDxWdA0HzxkihL1BXsOAI6rFdNFerq9Smzmp3vxRx3Ve8CsVind1vk45gDEQLXXtSHbFUOJkex5XkDI38iGYW9ZbU3bvPe1iUf4Oa.e; path=/; expires=Wed, 12-Mar-25 18:53:34 GMT; domain=.www.cloudflare.com; HttpOnly; Secure; SameSite=NoneReport-To: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare.com\/report\/v4?s=UoyWx9CMVnmxnToH86bNHgOmYFORLfcBgCuXDOt4xpPWWoe5WR6AsaGr%2BldNVzXcwMaKYqau7A%2BoWJB8qsmGdp4Iz9eOfvksuboEG8Bg6fe89edS89vXd34p7c8M1q8KZkJGRQ%3D%3D"}],"group":"cf-nel","max_age":604800}NEL: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}Server: cloudflareCF-RAY: 91f552ce89228f44-ORDalt-svc: h3=":443"; ma=86400
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49787
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49742
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49786
Source: unknownNetwork traffic detected: HTTP traffic on port 49779 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49785
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49740
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49784
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49782
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49781
Source: unknownNetwork traffic detected: HTTP traffic on port 49789 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49785 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49762 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49781 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49769 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49720 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49795 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49799 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49738
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49737
Source: unknownNetwork traffic detected: HTTP traffic on port 49717 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49759 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49779
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49778
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49777
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49732
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49775
Source: unknownNetwork traffic detected: HTTP traffic on port 49707 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49732 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49774
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49773
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49771
Source: unknownNetwork traffic detected: HTTP traffic on port 49679 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49671 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49742 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49784 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49794 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49729
Source: unknownNetwork traffic detected: HTTP traffic on port 49777 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49798 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49773 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49769
Source: unknownNetwork traffic detected: HTTP traffic on port 49790 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49722
Source: unknownNetwork traffic detected: HTTP traffic on port 49758 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49765
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49720
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49764
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49762
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49760
Source: unknownNetwork traffic detected: HTTP traffic on port 49787 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49729 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49760 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49764 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49745 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49719 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49793 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49722 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49797 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49719
Source: unknownNetwork traffic detected: HTTP traffic on port 49751 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49717
Source: unknownNetwork traffic detected: HTTP traffic on port 49715 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49715
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49759
Source: unknownNetwork traffic detected: HTTP traffic on port 49778 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49758
Source: unknownNetwork traffic detected: HTTP traffic on port 49774 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49738 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49782 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49799
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49754
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49798
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49797
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49796
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49751
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49795
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49794
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49793
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49790
Source: unknownNetwork traffic detected: HTTP traffic on port 49786 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49740 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49765 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49747 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49796 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49707
Source: unknownNetwork traffic detected: HTTP traffic on port 49775 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 49754 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49747
Source: unknownNetwork traffic detected: HTTP traffic on port 49737 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49745
Source: unknownNetwork traffic detected: HTTP traffic on port 49771 -> 443
Source: unknownNetwork traffic detected: HTTP traffic on port 443 -> 49789
Source: C:\Program Files\Google\Chrome\Application\chrome.exeFile created: C:\Windows\SystemTemp\scoped_dir6868_1957250276
Source: C:\Program Files\Google\Chrome\Application\chrome.exeFile deleted: C:\Windows\SystemTemp\scoped_dir6868_1957250276
Source: classification engineClassification label: mal48.win@27/0@73/322
Source: unknownProcess created: C:\Program Files\Google\Chrome\Application\chrome.exe "C:\Program Files\Google\Chrome\Application\chrome.exe" --start-maximized "about:blank"
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: C:\Program Files\Google\Chrome\Application\chrome.exe "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --lang=en-US --service-sandbox-type=none --no-pre-read-main-dll --field-trial-handle=2052,i,6869364269471530402,5794324820952644985,262144 --disable-features=OptimizationGuideModelDownloading,OptimizationHints,OptimizationHintsFetching,OptimizationTargetPrediction --variations-seed-version --mojo-platform-channel-handle=1600 /prefetch:3
Source: unknownProcess created: C:\Program Files\Google\Chrome\Application\chrome.exe "C:\Program Files\Google\Chrome\Application\chrome.exe" "https://sites.google.com/view/rfdzxgffg/home"
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: C:\Program Files\Google\Chrome\Application\chrome.exe "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --lang=en-US --service-sandbox-type=none --no-pre-read-main-dll --field-trial-handle=2052,i,6869364269471530402,5794324820952644985,262144 --disable-features=OptimizationGuideModelDownloading,OptimizationHints,OptimizationHintsFetching,OptimizationTargetPrediction --variations-seed-version --mojo-platform-channel-handle=1600 /prefetch:3
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: C:\Program Files\Google\Chrome\Application\chrome.exeProcess created: unknown unknown
Source: Window RecorderWindow detected: More than 3 window changes detected
ReconnaissanceResource DevelopmentInitial AccessExecutionPersistencePrivilege EscalationDefense EvasionCredential AccessDiscoveryLateral MovementCollectionCommand and ControlExfiltrationImpact
Gather Victim Identity InformationAcquire InfrastructureValid AccountsWindows Management Instrumentation2
Browser Extensions
1
Process Injection
1
Masquerading
OS Credential DumpingSystem Service DiscoveryRemote ServicesData from Local System1
Encrypted Channel
Exfiltration Over Other Network MediumAbuse Accessibility Features
CredentialsDomainsDefault AccountsScheduled Task/JobBoot or Logon Initialization ScriptsBoot or Logon Initialization Scripts1
Process Injection
LSASS MemoryApplication Window DiscoveryRemote Desktop ProtocolData from Removable Media5
Non-Application Layer Protocol
Exfiltration Over BluetoothNetwork Denial of Service
Email AddressesDNS ServerDomain AccountsAtLogon Script (Windows)Logon Script (Windows)1
File Deletion
Security Account ManagerQuery RegistrySMB/Windows Admin SharesData from Network Shared Drive6
Application Layer Protocol
Automated ExfiltrationData Encrypted for Impact
Employee NamesVirtual Private ServerLocal AccountsCronLogin HookLogin HookBinary PaddingNTDSSystem Network Configuration DiscoveryDistributed Component Object ModelInput Capture4
Ingress Tool Transfer
Traffic DuplicationData Destruction

This section contains all screenshots as thumbnails, including those not shown in the slideshow.


windows-stand
SourceDetectionScannerLabelLink
https://sites.google.com/view/rfdzxgffg/home0%Avira URL Cloudsafe
No Antivirus matches
No Antivirus matches
No Antivirus matches
SourceDetectionScannerLabelLink
https://apis.google.com/js/client.js?onload=gapiLoaded0%Avira URL Cloudsafe
https://csp.withgoogle.com/csp/proto/6b8ce7c01e3dacd3d2c7a8cd322ff9790%Avira URL Cloudsafe
https://lh5.googleusercontent.com/W9YGFvHZB4gmIi6g9mRTBfn6cqSDof6YJpoyhPpYKpkwBi2yp0D-DIJ-iEXT9LmgupLtpNOxUGU-fTeDt_aXXcE=w163830%Avira URL Cloudsafe
https://drive.google.com/auth_warmup0%Avira URL Cloudsafe
https://apis.google.com/js/api.js?checkCookie=10%Avira URL Cloudsafe
https://www.cloudflare.com/img/cf-bg.jpg0%Avira URL Cloudsafe
https://cdnjs.cloudflare.com/ajax/libs/jquery/3.5.1/jquery.min.js0%Avira URL Cloudsafe
https://challenges.cloudflare.com/turnstile/v0/api.js?compat=recaptcha0%Avira URL Cloudsafe
https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/orchestrate/chl_api/v1?ray=91f553666d02e994&lang=auto0%Avira URL Cloudsafe
https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/pat/91f553666d02e994/1741803844479/9ce3f8aba3a3413914e3db4a243b5c7bb4196a83e47a4834e155d5b10ce73b9e/sLU5VthFGL6cWut0%Avira URL Cloudsafe
https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/turnstile/if/ov2/av0/rcv/r0wdh/0x4AAAAAABAWpDNGFcLHjIgp/auto/fbE/new/normal/auto/0%Avira URL Cloudsafe
https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/d/91f553666d02e994/1741803844478/cTSdaE2UKD7dbNQ0%Avira URL Cloudsafe
https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/flow/ov1/1009269674:1741793396:6cqYY01dQePZRP2K0ILuH4MEq6IRcOpBlSGLL5JnK8g/91f553666d02e994/EFsinGazBt9lngyQaP6YxG3isewK6SpPZM2BA9rs4d0-1741803838-1.1.1.1-1WuGctAh_HxJAUxCJoKuP_HhPWWXc4F2E1QaoF2tZfW.rHCWOw2Sl3C7A0NhQlr10%Avira URL Cloudsafe
NameIPActiveMaliciousAntivirus DetectionReputation
beacons3.gvt2.com
172.217.18.99
truefalse
    high
    a.nel.cloudflare.com
    35.190.80.1
    truefalse
      high
      google.com
      216.58.206.78
      truefalse
        high
        csp.withgoogle.com
        142.250.186.145
        truefalse
          high
          plus.l.google.com
          142.250.186.46
          truefalse
            high
            beacons-handoff.gcp.gvt2.com
            142.250.185.163
            truefalse
              high
              rexfordmgmt.com
              147.45.177.160
              truetrue
                unknown
                beacons2.gvt2.com
                142.250.75.35
                truefalse
                  high
                  beacons.gvt2.com
                  142.250.180.99
                  truefalse
                    high
                    beacons6.gvt2.com
                    216.58.206.35
                    truefalse
                      high
                      e192961.dscx.akamaiedge.net
                      2.23.227.205
                      truefalse
                        high
                        ita123.com
                        147.45.177.160
                        truefalse
                          unknown
                          play.google.com
                          142.250.186.78
                          truefalse
                            high
                            www.cloudflare.com
                            104.16.123.96
                            truefalse
                              high
                              cdnjs.cloudflare.com
                              104.17.24.14
                              truefalse
                                high
                                challenges.cloudflare.com
                                104.18.94.41
                                truefalse
                                  high
                                  www.google.com
                                  142.250.186.132
                                  truefalse
                                    high
                                    drive.google.com
                                    172.217.18.14
                                    truefalse
                                      high
                                      googlehosted.l.googleusercontent.com
                                      142.250.184.225
                                      truefalse
                                        high
                                        r11.i.lencr.org
                                        unknown
                                        unknownfalse
                                          high
                                          beacons.gcp.gvt2.com
                                          unknown
                                          unknownfalse
                                            high
                                            1866650998-atari-embeds.googleusercontent.com
                                            unknown
                                            unknowntrue
                                              unknown
                                              lh5.googleusercontent.com
                                              unknown
                                              unknownfalse
                                                high
                                                apis.google.com
                                                unknown
                                                unknownfalse
                                                  high
                                                  NameMaliciousAntivirus DetectionReputation
                                                  https://apis.google.com/js/api.js?checkCookie=1false
                                                  • Avira URL Cloud: safe
                                                  unknown
                                                  https://www.cloudflare.com/img/cf-bg.jpgfalse
                                                  • Avira URL Cloud: safe
                                                  unknown
                                                  https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/orchestrate/chl_api/v1?ray=91f553666d02e994&lang=autofalse
                                                  • Avira URL Cloud: safe
                                                  unknown
                                                  https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/pat/91f553666d02e994/1741803844479/9ce3f8aba3a3413914e3db4a243b5c7bb4196a83e47a4834e155d5b10ce73b9e/sLU5VthFGL6cWutfalse
                                                  • Avira URL Cloud: safe
                                                  unknown
                                                  https://csp.withgoogle.com/csp/proto/6b8ce7c01e3dacd3d2c7a8cd322ff979false
                                                  • Avira URL Cloud: safe
                                                  unknown
                                                  http://r11.i.lencr.org/false
                                                    high
                                                    https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/turnstile/if/ov2/av0/rcv/r0wdh/0x4AAAAAABAWpDNGFcLHjIgp/auto/fbE/new/normal/auto/false
                                                    • Avira URL Cloud: safe
                                                    unknown
                                                    https://challenges.cloudflare.com/turnstile/v0/api.js?compat=recaptchafalse
                                                    • Avira URL Cloud: safe
                                                    unknown
                                                    https://challenges.cloudflare.com/turnstile/v0/g/f3b948d8acb8/api.jsfalse
                                                      high
                                                      https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/flow/ov1/1009269674:1741793396:6cqYY01dQePZRP2K0ILuH4MEq6IRcOpBlSGLL5JnK8g/91f553666d02e994/EFsinGazBt9lngyQaP6YxG3isewK6SpPZM2BA9rs4d0-1741803838-1.1.1.1-1WuGctAh_HxJAUxCJoKuP_HhPWWXc4F2E1QaoF2tZfW.rHCWOw2Sl3C7A0NhQlr1false
                                                      • Avira URL Cloud: safe
                                                      unknown
                                                      https://lh5.googleusercontent.com/W9YGFvHZB4gmIi6g9mRTBfn6cqSDof6YJpoyhPpYKpkwBi2yp0D-DIJ-iEXT9LmgupLtpNOxUGU-fTeDt_aXXcE=w16383false
                                                      • Avira URL Cloud: safe
                                                      unknown
                                                      https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/cmg/1false
                                                        high
                                                        https://play.google.com/log?format=json&hasfast=true&authuser=0false
                                                          high
                                                          https://drive.google.com/auth_warmupfalse
                                                          • Avira URL Cloud: safe
                                                          unknown
                                                          https://youtube.mx%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_NUMBER10%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%7BRANDOM_MD5%7D%EF%BB%BF%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20@rexfordmgmt.com/?umlokpla=639213ce8e29a0485fafdbbfd20755c63db779f854dea5662dd8f378df734667ea27f8974920b166b29dcbd4d2eb9c38eaf6d7e8a97b44c3c044b281ece53a9btrue
                                                            unknown
                                                            https://cdnjs.cloudflare.com/ajax/libs/jquery/3.5.1/jquery.min.jsfalse
                                                            • Avira URL Cloud: safe
                                                            unknown
                                                            https://challenges.cloudflare.com/turnstile/v0/api.js?onload=onloadTurnstileCallbackfalse
                                                              high
                                                              https://challenges.cloudflare.com/cdn-cgi/challenge-platform/h/g/d/91f553666d02e994/1741803844478/cTSdaE2UKD7dbNQfalse
                                                              • Avira URL Cloud: safe
                                                              unknown
                                                              https://apis.google.com/js/client.js?onload=gapiLoadedfalse
                                                              • Avira URL Cloud: safe
                                                              unknown
                                                              • No. of IPs < 25%
                                                              • 25% < No. of IPs < 50%
                                                              • 50% < No. of IPs < 75%
                                                              • 75% < No. of IPs
                                                              IPDomainCountryFlagASNASN NameMalicious
                                                              142.250.186.46
                                                              plus.l.google.comUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.185.99
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.185.206
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              216.58.212.142
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              172.217.18.14
                                                              drive.google.comUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.186.174
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              173.194.76.84
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              104.18.94.41
                                                              challenges.cloudflare.comUnited States
                                                              13335CLOUDFLARENETUSfalse
                                                              216.58.206.78
                                                              google.comUnited States
                                                              15169GOOGLEUSfalse
                                                              216.58.206.35
                                                              beacons6.gvt2.comUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.181.238
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.184.225
                                                              googlehosted.l.googleusercontent.comUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.186.132
                                                              www.google.comUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.186.110
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.184.227
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              35.190.80.1
                                                              a.nel.cloudflare.comUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.184.206
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              66.102.1.84
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.184.195
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.186.78
                                                              play.google.comUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.185.67
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              104.17.24.14
                                                              cdnjs.cloudflare.comUnited States
                                                              13335CLOUDFLARENETUSfalse
                                                              1.1.1.1
                                                              unknownAustralia
                                                              13335CLOUDFLARENETUSfalse
                                                              142.250.185.234
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              104.18.95.41
                                                              unknownUnited States
                                                              13335CLOUDFLARENETUSfalse
                                                              2.23.227.205
                                                              e192961.dscx.akamaiedge.netEuropean Union
                                                              8781QA-ISPQAfalse
                                                              142.250.186.106
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.181.227
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.186.129
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              147.45.177.160
                                                              rexfordmgmt.comRussian Federation
                                                              2895FREE-NET-ASFREEnetEUtrue
                                                              142.250.185.131
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              142.250.186.145
                                                              csp.withgoogle.comUnited States
                                                              15169GOOGLEUSfalse
                                                              172.217.16.193
                                                              unknownUnited States
                                                              15169GOOGLEUSfalse
                                                              104.16.123.96
                                                              www.cloudflare.comUnited States
                                                              13335CLOUDFLARENETUSfalse
                                                              IP
                                                              192.168.2.16
                                                              Joe Sandbox version:42.0.0 Malachite
                                                              Analysis ID:1636461
                                                              Start date and time:2025-03-12 19:22:16 +01:00
                                                              Joe Sandbox product:CloudBasic
                                                              Overall analysis duration:
                                                              Hypervisor based Inspection enabled:false
                                                              Report type:full
                                                              Cookbook file name:defaultwindowsinteractivecookbook.jbs
                                                              Sample URL:https://sites.google.com/view/rfdzxgffg/home
                                                              Analysis system description:Windows 10 x64 22H2 with Office Professional Plus 2019, Chrome 117, Firefox 118, Adobe Reader DC 23, Java 8 Update 381, 7zip 23.01
                                                              Number of analysed new started processes analysed:16
                                                              Number of new started drivers analysed:0
                                                              Number of existing processes analysed:0
                                                              Number of existing drivers analysed:0
                                                              Number of injected processes analysed:0
                                                              Technologies:
                                                              • EGA enabled
                                                              Analysis Mode:stream
                                                              Analysis stop reason:Timeout
                                                              Detection:MAL
                                                              Classification:mal48.win@27/0@73/322
                                                              • Exclude process from analysis (whitelisted): SIHClient.exe, svchost.exe
                                                              • Excluded IPs from analysis (whitelisted): 216.58.206.35, 142.250.184.206, 142.250.186.174, 173.194.76.84, 142.250.185.206, 142.250.185.110, 142.250.186.106, 142.250.185.131, 142.250.181.238, 142.250.184.238, 142.250.184.195, 142.250.185.234, 142.250.186.74, 142.250.185.138, 216.58.206.42, 142.250.185.106, 142.250.185.74, 172.217.16.202, 142.250.186.170, 142.250.181.234, 142.250.184.234, 142.250.186.42, 142.250.184.202, 142.250.186.138, 142.250.185.170, 142.250.185.202
                                                              • Not all processes where analyzed, report is missing behavior information
                                                              • Report size getting too big, too many NtOpenFile calls found.
                                                              • Some HTTPS proxied raw data packets have been limited to 10 per session. Please view the PCAPs for the complete data.
                                                              • VT rate limit hit for: https://sites.google.com/view/rfdzxgffg/home
                                                              No created / dropped files found
                                                              No static file info