Manuel Statik Analiz — PurpleFox | Tehdit: KRITIK

Dosya Kimliği

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıopenclaw installation.exe (OpenClaw oyun yükleyicisi taklidi!)
Boyut1.644.032 byte (1.6MB)
String Sayisi4.514

JPEG Olarak Kamuflaj Payload

Yenilikçi Kaçınma Tekniği: C2 sunucusu gerçek payload'u JPEG resim dosyası olarak sunuyor!
http://103.118.255.239:8888/wj/1.jpg
-- 103.118.255.239 = hardcoded C2 IP (Hong Kong/Çin ASN)
-- :8888 = alternatif HTTP portu (web filtreleri 80/443 izler)
-- /wj/ = "Windows Job" veya kampanya ID klasörü
-- /1.jpg = JPEG uzantısıyla kamuflaj edilmiş dropper!
-- Güvenlik ürünleri .jpg uzantılı dosyaları genellikle tara

Kripto Exchange C2

http://app.cc-coins.xyz
-- "cc-coins" = kripto para exchange görünümü
-- .xyz TLD = çok tercih edilen C2 TLD (ucuz, kolay kayıt)
-- kurban kripto yatırımcısı veya trader hedef alınıyor

OpenClaw Oyun Lure

openclaw installation.exe
-- OpenClaw = açık kaynak Commander Keen oyun klonu (GitHub'da mevcut)
-- Oyun yükleyici kisvesiyle gamer topluluğu hedef
-- .exe uzantısı game setup benzeri görünüm

IOC

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 IP103.118.255.239:8888
Payload URLhttp://103.118.255.239:8888/wj/1.jpg (JPEG kamuflaj)
C2 Domainapp.cc-coins.xyz

PurpleFox — Malware Profile

PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.

Malware Type
Rootkit
Programming Language
C/C++
C2 Protocol
HTTP
Target Systems
Cin/Asya

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (3 indicators)

IOC — PurpleFox
# IP 103.118.255.239 # DOMAIN app.cc # DOMAIN coins.xyz
TypeValueNote
ip 103.118.255.239
domain app.cc
domain coins.xyz

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
103.118.255.239 ip 8888 HTTP inactive —
app.cc-coins.xyz domain 80 HTTP inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
purplefoxopenclaw-installation103-118-255-239wj-jpg-payloadjpg-dropper-camouflageapp-cc-coins-xyzcrypto-domain