Manuel Statik Analiz — PurpleFox | Tehdit: KRITIK

Dosya Kimliği

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıopenclaw installation.exe (OpenClaw oyun yükleyicisi taklidi!)
Boyut1.644.032 byte (1.6MB)
String Sayisi4.514

JPEG Olarak Kamuflaj Payload

Yenilikçi Kaçınma Tekniği: C2 sunucusu gerçek payload'u JPEG resim dosyası olarak sunuyor!
http://103.118.255.239:8888/wj/1.jpg
-- 103.118.255.239 = hardcoded C2 IP (Hong Kong/Çin ASN)
-- :8888 = alternatif HTTP portu (web filtreleri 80/443 izler)
-- /wj/ = "Windows Job" veya kampanya ID klasörü
-- /1.jpg = JPEG uzantısıyla kamuflaj edilmiş dropper!
-- Güvenlik ürünleri .jpg uzantılı dosyaları genellikle tara

Kripto Exchange C2

http://app.cc-coins.xyz
-- "cc-coins" = kripto para exchange görünümü
-- .xyz TLD = çok tercih edilen C2 TLD (ucuz, kolay kayıt)
-- kurban kripto yatırımcısı veya trader hedef alınıyor

OpenClaw Oyun Lure

openclaw installation.exe
-- OpenClaw = açık kaynak Commander Keen oyun klonu (GitHub'da mevcut)
-- Oyun yükleyici kisvesiyle gamer topluluğu hedef
-- .exe uzantısı game setup benzeri görünüm

IOC

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 IP103.118.255.239:8888
Payload URLhttp://103.118.255.239:8888/wj/1.jpg (JPEG kamuflaj)
C2 Domainapp.cc-coins.xyz

PurpleFox — Malware Profili

PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.

Malware Tipi
Rootkit
Programlama Dili
C/C++
C2 Protokolü
HTTP
Hedef Sistemler
Cin/Asya

Yetenekler ve Davranış

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC Listesi (3 gösterge)

IOC — PurpleFox
# IP 103.118.255.239 # DOMAIN app.cc # DOMAIN coins.xyz
TürDeğerNot
ip 103.118.255.239
domain app.cc
domain coins.xyz

C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
103.118.255.239 ip 8888 HTTP inactive —
app.cc-coins.xyz domain 80 HTTP inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
purplefoxopenclaw-installation103-118-255-239wj-jpg-payloadjpg-dropper-camouflageapp-cc-coins-xyzcrypto-domain