Statik Analiz — DiscordCDNDropper (.NET) | Tehdit: ВЫСОКИЙ

Файл Kimliği

SHA25641ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Размер66,560 byte (ZIP 30KB → .NET PE32)
Framework.NET v4.0.30319

cdn.discordapp.com/attachments: Dead Drop Payload

DISCORD CDN: Discord dosya paylaşım CDN'i ikinci aşama payload dağıtımı için kullanılıyor!
https://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat?ex=65b6f023&is=65a47b23&hm=...

-- Tam URL analizi:
  Domain: cdn.discordapp.com (Discord içerik dağıtım ağı)
  Kanal ID: 1160855778916319336 (discord kanal)
  Mesaj ID: 1196248399096328242 (discord mesajı)
  Dosya: Jvvlpovxdup.dat (obfuskeli isim — .dat uzantısı AV atlatma)
  ?ex= : URL imzası (geçici erişim token)

-- Discord CDN neden tercih ediliyor:
  1. HTTPS: trafik şifreli → AV/firewall göremez içerik
  2. Meşru domain: cdn.discordapp.com → whitelist'te
  3. Ücretsiz: hesap açılır, dosya yüklenir, silinene kadar kalır
  4. Hızlı kurulum: C2 sunucusu gerekmez
  5. Tespit zorluğu: CDN trafiği normal internet kullanımı gibi

-- "Jvvlpovxdup.dat": obfuskeli payload ismi
  - .dat uzantısı: .exe veya .dll değil → AV daha az şüphelenir
  - Muhtemelen şifreli/packed ikinci aşama

injectlast + token + _Token: Enjeksiyon Zinciri

injectlast
token
_Token
RepositoryTokenFilter
LoginPredicate
CreateDelegate

-- "injectlast": enjeksiyon sırasını belirten metod/değişken
  → enjeksiyon en son adım olarak gerçekleşiyor
-- "_Token" + "token": Discord bot token veya auth token
  → payload indirimek için Discord API auth gerekebilir
-- RepositoryTokenFilter: token'ları filtrele/yönet
-- LoginPredicate: giriş koşulunu değerlendir
-- CreateDelegate: .NET reflection tabanlı dinamik metod çağrısı
  → AV hook'larını atlatmak için reflection kullanılıyor

-- Muhtemel akış:
  1. DiscordCDNDropper başlar
  2. Discord CDN'den Jvvlpovxdup.dat indir
  3. Token ile kimlik doğrula (RepositoryTokenFilter)
  4. CreateDelegate → dinamik metod çağrısı (reflection)
  5. injectlast → yüklenen payload'ı enjekte et

IOC

SHA25641ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Dead Drop URLhttps://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat
Discord Kanal1160855778916319336

DiscordCDNDropper — Профиль вредоносного ПО

Discord CDN uzerinden payload indiren .NET dropper. Payload Discord attachment olarak depolanir (.dat uzantisiyla gizlenir). CDN URL imzali (gecici erisim). RepositoryTokenFilter, injectlast stringleri.

Тип вредоносного ПО
Loader
Язык программирования
C#/.NET
C2 Протокол
HTTPS/Discord CDN
Целевые системы
Küresel

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — DiscordCDNDropper
# SHA256 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
ТипЗначениеПримечание
sha256 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Теги
discordcdndropperdiscord-cdn-dropperdiscord-dead-drop-payload-deliverycdn-discordapp-com-jvvlpovxdup-dat-attachment-dead-dropinjectlast-token-injection-string-evidencerepositorytokenfilter-loginpredicate-authentication-bypasssystem-net-sockets-tcp-connectiondiscord-c2-channel-cdnattachment-payload