Manuel Statik Analiz — PurpleFox | Tehdit: KRITIK

Datei Kimliği

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dateinameopenclaw installation.exe (OpenClaw oyun yükleyicisi taklidi!)
Größe1.644.032 byte (1.6MB)
String Sayisi4.514

JPEG Olarak Kamuflaj Payload

Yenilikçi Kaçınma Tekniği: C2 sunucusu gerçek payload'u JPEG resim dosyası olarak sunuyor!
http://103.118.255.239:8888/wj/1.jpg
-- 103.118.255.239 = hardcoded C2 IP (Hong Kong/Çin ASN)
-- :8888 = alternatif HTTP portu (web filtreleri 80/443 izler)
-- /wj/ = "Windows Job" veya kampanya ID klasörü
-- /1.jpg = JPEG uzantısıyla kamuflaj edilmiş dropper!
-- Güvenlik ürünleri .jpg uzantılı dosyaları genellikle tara

Kripto Exchange C2

http://app.cc-coins.xyz
-- "cc-coins" = kripto para exchange görünümü
-- .xyz TLD = çok tercih edilen C2 TLD (ucuz, kolay kayıt)
-- kurban kripto yatırımcısı veya trader hedef alınıyor

OpenClaw Oyun Lure

openclaw installation.exe
-- OpenClaw = açık kaynak Commander Keen oyun klonu (GitHub'da mevcut)
-- Oyun yükleyici kisvesiyle gamer topluluğu hedef
-- .exe uzantısı game setup benzeri görünüm

IOC

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 IP103.118.255.239:8888
Payload URLhttp://103.118.255.239:8888/wj/1.jpg (JPEG kamuflaj)
C2 Domainapp.cc-coins.xyz

PurpleFox — Malware-Profil

PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.

Malware-Typ
Rootkit
Programmiersprache
C/C++
C2-Protokoll
HTTP
Zielsysteme
Cin/Asya

Fähigkeiten & Verhalten

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC-Liste (3 Indikatoren)

IOC — PurpleFox
# IP 103.118.255.239 # DOMAIN app.cc # DOMAIN coins.xyz
TypWertBemerkung
ip 103.118.255.239
domain app.cc
domain coins.xyz

C2-Server (2 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
103.118.255.239 ip 8888 HTTP inactive —
app.cc-coins.xyz domain 80 HTTP inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
purplefoxopenclaw-installation103-118-255-239wj-jpg-payloadjpg-dropper-camouflageapp-cc-coins-xyzcrypto-domain