Manuel Statik Analiz — XenoRAT | Tehdit: YUKSEK

Archivo Kimliği

SHA256a87cf0954145c8c8378880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nombre de archivoUpdateWindowns.exe (YAZIM HATASI: Windows → Windowns!)
Tamaño378.880 byte (370KB)
String Sayisi1.832

UpdateWindowns.exe: Windows Update Yazım Hatalı Sahte Güncelleme

TYPO LURE: "Windowns" — Windows yanlış yazılmış!
UpdateWindowns.exe
-- "Windowns" ≠ "Windows" (fazladan "n" harfi)
-- Sahte Windows Update executable: "UpdateWindows.exe" gibi görünmek istiyor
-- Yazım hatası: hızlı hazırlık veya dilbilgisi farklılığı (anadili İngilizce değil)
-- Dağıtım: sosyal mühendislik + "Windows güncellemeniz var" mesajı

localto.net: Tünel Servisi C2

localto.net
-- LocalTunnel benzeri servis: localhost'u internete açan tünel
-- XenoRAT operatörü: kendi C2'sini localto.net üzerinden tüneliyor
-- Tünel servisi: gerçek C2 IP'yi gizler
-- Güvenlik araçları: localto.net meşru servis olarak görür
-- Aynı taktik: ngrok, serveo, pagekite ile C2 gizleme

Costura.Fody: .NET Assembly Gömme/Paketleme

costura.costura.dll.compressed|6.1.0.0|Costura, Version=6.1.0.0
-- Costura.Fody = .NET DLL'lerini exe içine gömen pakeleyici
-- "dll.compressed" = DLL'ler sıkıştırılmış kaynak olarak gömülü
-- XenoRAT: tüm bağımlılıklarını tek exe'ye paketlemiş
-- Analiz zorluğu: DLL'ler ayrı değil, tek binary'de

IOC

SHA256a87cf0954145c8c8378880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2localto.net
TaklitUpdateWindowns.exe (Windows Update typo)

XenoRAT — Perfil del malware

Open-source C# RAT (GitHub: moom825/xeno-rat). SharpDX DirectX screen capture. Costura embedded DLLs. AddToStartupNonAdmin persistence. Reverse tunnel via localto.net. Future timestamp anti-analysis. UpdateWindowns.exe typo lure.

Tipo de malware
RAT
Lenguaje de programación
C#/.NET
Protocolo C2
TCP/TLS
Sistemas objetivo
Küresel

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (2 indicadores)

IOC — XenoRAT
# IP 6.1.0.0 # DOMAIN localto.net
TipoValorNota
ip 6.1.0.0
domain localto.net

Servidores C2 (1 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
localto.net domain 443 HTTPS active —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
xenoratxeno-ratupdatewindowns-exe-windows-typolocalto-net-tunnel-c2costura-fody-dotnet-assembly-embeddingwindows-update-fake