Manuel Statik Analiz — PurpleFox | Tehdit: KRITIK

Fichier Kimliği

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Nom du fichieropenclaw installation.exe (OpenClaw oyun yükleyicisi taklidi!)
Taille1.644.032 byte (1.6MB)
String Sayisi4.514

JPEG Olarak Kamuflaj Payload

Yenilikçi Kaçınma Tekniği: C2 sunucusu gerçek payload'u JPEG resim dosyası olarak sunuyor!
http://103.118.255.239:8888/wj/1.jpg
-- 103.118.255.239 = hardcoded C2 IP (Hong Kong/Çin ASN)
-- :8888 = alternatif HTTP portu (web filtreleri 80/443 izler)
-- /wj/ = "Windows Job" veya kampanya ID klasörü
-- /1.jpg = JPEG uzantısıyla kamuflaj edilmiş dropper!
-- Güvenlik ürünleri .jpg uzantılı dosyaları genellikle tara

Kripto Exchange C2

http://app.cc-coins.xyz
-- "cc-coins" = kripto para exchange görünümü
-- .xyz TLD = çok tercih edilen C2 TLD (ucuz, kolay kayıt)
-- kurban kripto yatırımcısı veya trader hedef alınıyor

OpenClaw Oyun Lure

openclaw installation.exe
-- OpenClaw = açık kaynak Commander Keen oyun klonu (GitHub'da mevcut)
-- Oyun yükleyici kisvesiyle gamer topluluğu hedef
-- .exe uzantısı game setup benzeri görünüm

IOC

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 IP103.118.255.239:8888
Payload URLhttp://103.118.255.239:8888/wj/1.jpg (JPEG kamuflaj)
C2 Domainapp.cc-coins.xyz

PurpleFox — Profil du malware

PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.

Type de malware
Rootkit
Langage de programmation
C/C++
Protocole C2
HTTP
Systèmes ciblés
Cin/Asya

Capacités et comportement

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Liste IOC (3 indicateurs)

IOC — PurpleFox
# IP 103.118.255.239 # DOMAIN app.cc # DOMAIN coins.xyz
TypeValeurNote
ip 103.118.255.239
domain app.cc
domain coins.xyz

Serveurs C2 (2 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
103.118.255.239 ip 8888 HTTP inactive —
app.cc-coins.xyz domain 80 HTTP inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
purplefoxopenclaw-installation103-118-255-239wj-jpg-payloadjpg-dropper-camouflageapp-cc-coins-xyzcrypto-domain