Manuel Statik Analiz — PurpleFox | Tehdit: KRITIK

Arquivo Kimliği

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Nome do arquivoopenclaw installation.exe (OpenClaw oyun yükleyicisi taklidi!)
Tamanho1.644.032 byte (1.6MB)
String Sayisi4.514

JPEG Olarak Kamuflaj Payload

Yenilikçi Kaçınma Tekniği: C2 sunucusu gerçek payload'u JPEG resim dosyası olarak sunuyor!
http://103.118.255.239:8888/wj/1.jpg
-- 103.118.255.239 = hardcoded C2 IP (Hong Kong/Çin ASN)
-- :8888 = alternatif HTTP portu (web filtreleri 80/443 izler)
-- /wj/ = "Windows Job" veya kampanya ID klasörü
-- /1.jpg = JPEG uzantısıyla kamuflaj edilmiş dropper!
-- Güvenlik ürünleri .jpg uzantılı dosyaları genellikle tara

Kripto Exchange C2

http://app.cc-coins.xyz
-- "cc-coins" = kripto para exchange görünümü
-- .xyz TLD = çok tercih edilen C2 TLD (ucuz, kolay kayıt)
-- kurban kripto yatırımcısı veya trader hedef alınıyor

OpenClaw Oyun Lure

openclaw installation.exe
-- OpenClaw = açık kaynak Commander Keen oyun klonu (GitHub'da mevcut)
-- Oyun yükleyici kisvesiyle gamer topluluğu hedef
-- .exe uzantısı game setup benzeri görünüm

IOC

SHA25636fcbb6705cfb3371644032b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 IP103.118.255.239:8888
Payload URLhttp://103.118.255.239:8888/wj/1.jpg (JPEG kamuflaj)
C2 Domainapp.cc-coins.xyz

PurpleFox — Perfil do malware

PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.

Tipo de malware
Rootkit
Linguagem de programação
C/C++
Protocolo C2
HTTP
Sistemas-alvo
Cin/Asya

Capacidades e comportamento

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Lista IOC (3 indicadores)

IOC — PurpleFox
# IP 103.118.255.239 # DOMAIN app.cc # DOMAIN coins.xyz
TipoValorNota
ip 103.118.255.239
domain app.cc
domain coins.xyz

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
103.118.255.239 ip 8888 HTTP inactive —
app.cc-coins.xyz domain 80 HTTP inactive —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
purplefoxopenclaw-installation103-118-255-239wj-jpg-payloadjpg-dropper-camouflageapp-cc-coins-xyzcrypto-domain