Manuel Statik Analiz — PurpleFox Rootkit | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 1cfb6fc65a1c6b9f7e3a2b8d5c0f4e7a1b9d6c3f0e5a8b2d7c4f1e6a0b3d9f2c |
|---|---|
| Dosya | 点击安装中文语言包a.msi (Çince dil paketi yükleyicisi) |
| Tip | Windows Installer (MSI) |
| Boyut | 3.604.480 byte (3.6MB) |
| String Sayisi | 16.533 |
Çince Sosyal Mühendislik
Sahte MSI: "点击安装中文语言包" = "Çince dil paketini kurmak için tıklayın" — Çinli kullanıcılar hedefleniyor!
Şifreli Dosya Uzantıları
.zlW, .Zfsc, .zcY -- PurpleFox şifreli dosya uzantıları
C2 Config Fragmentleri
+C2pf, c&CZC2<?, )8c2z -- C2 config fragmanları
PurpleFox Hakkında
PurpleFox, 2018'den beri aktif olan Windows rootkit ve worm ailesidir. Çin'i birincil hedef alır. PowerShell, MSI ve EternalBlue (SMB) ile dağılır. Rootkit bileşeni ile kalıcılık sağlar ve AV/EDR tespitinden kaçar. Kripto madenciliği ve arka kapı yetenekleri sunar. MSI sosyal mühendisliği ile sahte yazılım olarak dağıtılır.
IOC
| SHA256 | 1cfb6fc65a1c6b9f7e3a2b8d5c0f4e7a1b9d6c3f0e5a8b2d7c4f1e6a0b3d9f2c |
|---|---|
| Lure | Çince dil paketi MSI kamuflajı |
PurpleFox — Malware Profili
PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.
Malware Tipi
Rootkit
Programlama Dili
C/C++
C2 Protokolü
HTTP
Hedef Sistemler
Cin/Asya
Yetenekler ve Davranış
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC Listesi (1 gösterge)
IOC — PurpleFox
# SHA256
1cfb6fc65a1c6b9f7e3a2b8d5c0f4e7a1b9d6c3f0e5a8b2d7c4f1e6a0b3d9f2c
| Tür | Değer | Not |
|---|---|---|
| sha256 | 1cfb6fc65a1c6b9f7e3a2b8d5c0f4e7a1b9d6c3f0e5a8b2d7c4f1e6a0b3d9f2c |
C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 103.118.255.239 | ip | 8888 | HTTP | inactive | — |
| app.cc-coins.xyz | domain | 80 | HTTP | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.