Manuel Statik Analiz — PurpleFox Rootkit | Tehdit: YUKSEK

Файл Kimliği

SHA2561cfb6fc65a1c6b9f7e3a2b8d5c0f4e7a1b9d6c3f0e5a8b2d7c4f1e6a0b3d9f2c
Файл点击安装中文语言包a.msi (Çince dil paketi yükleyicisi)
TipWindows Installer (MSI)
Размер3.604.480 byte (3.6MB)
String Sayisi16.533

Çince Sosyal Mühendislik

Sahte MSI: "点击安装中文语言包" = "Çince dil paketini kurmak için tıklayın" — Çinli kullanıcılar hedefleniyor!

Şifreli Файл Uzantıları

.zlW, .Zfsc, .zcY  -- PurpleFox şifreli dosya uzantıları

C2 Config Fragmentleri

+C2pf, c&CZC2<?, )8c2z  -- C2 config fragmanları

PurpleFox Hakkında

PurpleFox, 2018'den beri aktif olan Windows rootkit ve worm ailesidir. Çin'i birincil hedef alır. PowerShell, MSI ve EternalBlue (SMB) ile dağılır. Rootkit bileşeni ile kalıcılık sağlar ve AV/EDR tespitinden kaçar. Kripto madenciliği ve arka kapı yetenekleri sunar. MSI sosyal mühendisliği ile sahte yazılım olarak dağıtılır.

IOC

SHA2561cfb6fc65a1c6b9f7e3a2b8d5c0f4e7a1b9d6c3f0e5a8b2d7c4f1e6a0b3d9f2c
LureÇince dil paketi MSI kamuflajı

PurpleFox — Профиль вредоносного ПО

PurpleFox SMB worm 2018 Cin. openclaw yükleyici lure. 103.118.255.239:8888/wj/1.jpg JPEG payload kamuflaj. app.cc-coins.xyz. UAC bypass.

Тип вредоносного ПО
Rootkit
Язык программирования
C/C++
C2 Протокол
HTTP
Целевые системы
Cin/Asya

Возможности и поведение

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Список IOC (1 индикаторов)

IOC — PurpleFox
# SHA256 1cfb6fc65a1c6b9f7e3a2b8d5c0f4e7a1b9d6c3f0e5a8b2d7c4f1e6a0b3d9f2c
ТипЗначениеПримечание
sha256 1cfb6fc65a1c6b9f7e3a2b8d5c0f4e7a1b9d6c3f0e5a8b2d7c4f1e6a0b3d9f2c

C2 Серверы (2 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
103.118.255.239 ip 8888 HTTP inactive &mdash;
app.cc-coins.xyz domain 80 HTTP inactive &mdash;

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
purplefoxrootkitmsichinese-lureencrypted-extensionsocial-engineering