Manuel Statik Analiz — XenoRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256a87cf0954145c8c8378880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıUpdateWindowns.exe (YAZIM HATASI: Windows → Windowns!)
Boyut378.880 byte (370KB)
String Sayisi1.832

UpdateWindowns.exe: Windows Update Yazım Hatalı Sahte Güncelleme

TYPO LURE: "Windowns" — Windows yanlış yazılmış!
UpdateWindowns.exe
-- "Windowns" ≠ "Windows" (fazladan "n" harfi)
-- Sahte Windows Update executable: "UpdateWindows.exe" gibi görünmek istiyor
-- Yazım hatası: hızlı hazırlık veya dilbilgisi farklılığı (anadili İngilizce değil)
-- Dağıtım: sosyal mühendislik + "Windows güncellemeniz var" mesajı

localto.net: Tünel Servisi C2

localto.net
-- LocalTunnel benzeri servis: localhost'u internete açan tünel
-- XenoRAT operatörü: kendi C2'sini localto.net üzerinden tüneliyor
-- Tünel servisi: gerçek C2 IP'yi gizler
-- Güvenlik araçları: localto.net meşru servis olarak görür
-- Aynı taktik: ngrok, serveo, pagekite ile C2 gizleme

Costura.Fody: .NET Assembly Gömme/Paketleme

costura.costura.dll.compressed|6.1.0.0|Costura, Version=6.1.0.0
-- Costura.Fody = .NET DLL'lerini exe içine gömen pakeleyici
-- "dll.compressed" = DLL'ler sıkıştırılmış kaynak olarak gömülü
-- XenoRAT: tüm bağımlılıklarını tek exe'ye paketlemiş
-- Analiz zorluğu: DLL'ler ayrı değil, tek binary'de

IOC

SHA256a87cf0954145c8c8378880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2localto.net
TaklitUpdateWindowns.exe (Windows Update typo)

XenoRAT — Malware Profile

Open-source C# RAT (GitHub: moom825/xeno-rat). SharpDX DirectX screen capture. Costura embedded DLLs. AddToStartupNonAdmin persistence. Reverse tunnel via localto.net. Future timestamp anti-analysis. UpdateWindowns.exe typo lure.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/TLS
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — XenoRAT
# IP 6.1.0.0 # DOMAIN localto.net
TypeValueNote
ip 6.1.0.0
domain localto.net

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
localto.net domain 443 HTTPS active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
xenoratxeno-ratupdatewindowns-exe-windows-typolocalto-net-tunnel-c2costura-fody-dotnet-assembly-embeddingwindows-update-fake