Manuel Statik Analiz — XenoRAT | Tehdit: YUKSEK

Fichier Kimliği

SHA256a87cf0954145c8c8378880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nom du fichierUpdateWindowns.exe (YAZIM HATASI: Windows → Windowns!)
Taille378.880 byte (370KB)
String Sayisi1.832

UpdateWindowns.exe: Windows Update Yazım Hatalı Sahte Güncelleme

TYPO LURE: "Windowns" — Windows yanlış yazılmış!
UpdateWindowns.exe
-- "Windowns" ≠ "Windows" (fazladan "n" harfi)
-- Sahte Windows Update executable: "UpdateWindows.exe" gibi görünmek istiyor
-- Yazım hatası: hızlı hazırlık veya dilbilgisi farklılığı (anadili İngilizce değil)
-- Dağıtım: sosyal mühendislik + "Windows güncellemeniz var" mesajı

localto.net: Tünel Servisi C2

localto.net
-- LocalTunnel benzeri servis: localhost'u internete açan tünel
-- XenoRAT operatörü: kendi C2'sini localto.net üzerinden tüneliyor
-- Tünel servisi: gerçek C2 IP'yi gizler
-- Güvenlik araçları: localto.net meşru servis olarak görür
-- Aynı taktik: ngrok, serveo, pagekite ile C2 gizleme

Costura.Fody: .NET Assembly Gömme/Paketleme

costura.costura.dll.compressed|6.1.0.0|Costura, Version=6.1.0.0
-- Costura.Fody = .NET DLL'lerini exe içine gömen pakeleyici
-- "dll.compressed" = DLL'ler sıkıştırılmış kaynak olarak gömülü
-- XenoRAT: tüm bağımlılıklarını tek exe'ye paketlemiş
-- Analiz zorluğu: DLL'ler ayrı değil, tek binary'de

IOC

SHA256a87cf0954145c8c8378880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2localto.net
TaklitUpdateWindowns.exe (Windows Update typo)

XenoRAT — Profil du malware

Open-source C# RAT (GitHub: moom825/xeno-rat). SharpDX DirectX screen capture. Costura embedded DLLs. AddToStartupNonAdmin persistence. Reverse tunnel via localto.net. Future timestamp anti-analysis. UpdateWindowns.exe typo lure.

Type de malware
RAT
Langage de programmation
C#/.NET
Protocole C2
TCP/TLS
Systèmes ciblés
Küresel

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (2 indicateurs)

IOC — XenoRAT
# IP 6.1.0.0 # DOMAIN localto.net
TypeValeurNote
ip 6.1.0.0
domain localto.net

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
localto.net domain 443 HTTPS active —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
xenoratxeno-ratupdatewindowns-exe-windows-typolocalto-net-tunnel-c2costura-fody-dotnet-assembly-embeddingwindows-update-fake