Manuel Statik Analiz — PurpleFox | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 36fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 파일 이름 | openclaw installation.exe (OpenClaw oyun yükleyicisi taklidi!) |
| 크기 | 1.644.032 byte (1.6MB) |
| String Sayisi | 4.514 |
JPEG Olarak Kamuflaj Payload
Yenilikçi Kaçınma Tekniği: C2 sunucusu gerçek payload'u JPEG resim dosyası olarak sunuyor!
http://103.118.255.239:8888/wj/1.jpg -- 103.118.255.239 = hardcoded C2 IP (Hong Kong/Çin ASN) -- :8888 = alternatif HTTP portu (web filtreleri 80/443 izler) -- /wj/ = "Windows Job" veya kampanya ID klasörü -- /1.jpg = JPEG uzantısıyla kamuflaj edilmiş dropper! -- Güvenlik ürünleri .jpg uzantılı dosyaları genellikle tara
Kripto Exchange C2
http://app.cc-coins.xyz -- "cc-coins" = kripto para exchange görünümü -- .xyz TLD = çok tercih edilen C2 TLD (ucuz, kolay kayıt) -- kurban kripto yatırımcısı veya trader hedef alınıyor
OpenClaw Oyun Lure
openclaw installation.exe -- OpenClaw = açık kaynak Commander Keen oyun klonu (GitHub'da mevcut) -- Oyun yükleyici kisvesiyle gamer topluluğu hedef -- .exe uzantısı game setup benzeri görünüm
IOC
| SHA256 | 36fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 IP | 103.118.255.239:8888 |
| Payload URL | http://103.118.255.239:8888/wj/1.jpg (JPEG kamuflaj) |
| C2 Domain | app.cc-coins.xyz |
PurpleFox — 악성코드 프로필
PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.
악성코드 유형
Rootkit
프로그래밍 언어
C/C++
C2 프로토콜
HTTP
대상 시스템
Cin/Asya
기능 및 동작
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC 목록 (3 개 지표)
IOC — PurpleFox
# IP
103.118.255.239
# DOMAIN
app.cc
# DOMAIN
coins.xyz
| 유형 | 값 | 메모 |
|---|---|---|
| ip | 103.118.255.239 | |
| domain | app.cc | |
| domain | coins.xyz |
C2 서버 (이 패밀리에 대해 2개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| 103.118.255.239 | ip | 8888 | HTTP | inactive | — |
| app.cc-coins.xyz | domain | 80 | HTTP | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.