Manuel Statik Analiz — PurpleFox | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 36fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | openclaw installation.exe (OpenClaw oyun yükleyicisi taklidi!) |
| Boyut | 1.644.032 byte (1.6MB) |
| String Sayisi | 4.514 |
JPEG Olarak Kamuflaj Payload
Yenilikçi Kaçınma Tekniği: C2 sunucusu gerçek payload'u JPEG resim dosyası olarak sunuyor!
http://103.118.255.239:8888/wj/1.jpg -- 103.118.255.239 = hardcoded C2 IP (Hong Kong/Çin ASN) -- :8888 = alternatif HTTP portu (web filtreleri 80/443 izler) -- /wj/ = "Windows Job" veya kampanya ID klasörü -- /1.jpg = JPEG uzantısıyla kamuflaj edilmiş dropper! -- Güvenlik ürünleri .jpg uzantılı dosyaları genellikle tara
Kripto Exchange C2
http://app.cc-coins.xyz -- "cc-coins" = kripto para exchange görünümü -- .xyz TLD = çok tercih edilen C2 TLD (ucuz, kolay kayıt) -- kurban kripto yatırımcısı veya trader hedef alınıyor
OpenClaw Oyun Lure
openclaw installation.exe -- OpenClaw = açık kaynak Commander Keen oyun klonu (GitHub'da mevcut) -- Oyun yükleyici kisvesiyle gamer topluluğu hedef -- .exe uzantısı game setup benzeri görünüm
IOC
| SHA256 | 36fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 IP | 103.118.255.239:8888 |
| Payload URL | http://103.118.255.239:8888/wj/1.jpg (JPEG kamuflaj) |
| C2 Domain | app.cc-coins.xyz |
PurpleFox — Malware Profile
PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.
Malware Type
Rootkit
Programming Language
C/C++
C2 Protocol
HTTP
Target Systems
Cin/Asya
Capabilities & Behavior
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC List (3 indicators)
IOC — PurpleFox
# IP
103.118.255.239
# DOMAIN
app.cc
# DOMAIN
coins.xyz
| Type | Value | Note |
|---|---|---|
| ip | 103.118.255.239 | |
| domain | app.cc | |
| domain | coins.xyz |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 103.118.255.239 | ip | 8888 | HTTP | inactive | — |
| app.cc-coins.xyz | domain | 80 | HTTP | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.