Statik Analiz — DiscordCDNDropper (.NET) | Tehdit: ALTO

Arquivo Kimliği

SHA25641ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Tamanho66,560 byte (ZIP 30KB → .NET PE32)
Framework.NET v4.0.30319

cdn.discordapp.com/attachments: Dead Drop Payload

DISCORD CDN: Discord dosya paylaşım CDN'i ikinci aşama payload dağıtımı için kullanılıyor!
https://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat?ex=65b6f023&is=65a47b23&hm=...

-- Tam URL analizi:
  Domain: cdn.discordapp.com (Discord içerik dağıtım ağı)
  Kanal ID: 1160855778916319336 (discord kanal)
  Mesaj ID: 1196248399096328242 (discord mesajı)
  Dosya: Jvvlpovxdup.dat (obfuskeli isim — .dat uzantısı AV atlatma)
  ?ex= : URL imzası (geçici erişim token)

-- Discord CDN neden tercih ediliyor:
  1. HTTPS: trafik şifreli → AV/firewall göremez içerik
  2. Meşru domain: cdn.discordapp.com → whitelist'te
  3. Ücretsiz: hesap açılır, dosya yüklenir, silinene kadar kalır
  4. Hızlı kurulum: C2 sunucusu gerekmez
  5. Tespit zorluğu: CDN trafiği normal internet kullanımı gibi

-- "Jvvlpovxdup.dat": obfuskeli payload ismi
  - .dat uzantısı: .exe veya .dll değil → AV daha az şüphelenir
  - Muhtemelen şifreli/packed ikinci aşama

injectlast + token + _Token: Enjeksiyon Zinciri

injectlast
token
_Token
RepositoryTokenFilter
LoginPredicate
CreateDelegate

-- "injectlast": enjeksiyon sırasını belirten metod/değişken
  → enjeksiyon en son adım olarak gerçekleşiyor
-- "_Token" + "token": Discord bot token veya auth token
  → payload indirimek için Discord API auth gerekebilir
-- RepositoryTokenFilter: token'ları filtrele/yönet
-- LoginPredicate: giriş koşulunu değerlendir
-- CreateDelegate: .NET reflection tabanlı dinamik metod çağrısı
  → AV hook'larını atlatmak için reflection kullanılıyor

-- Muhtemel akış:
  1. DiscordCDNDropper başlar
  2. Discord CDN'den Jvvlpovxdup.dat indir
  3. Token ile kimlik doğrula (RepositoryTokenFilter)
  4. CreateDelegate → dinamik metod çağrısı (reflection)
  5. injectlast → yüklenen payload'ı enjekte et

IOC

SHA25641ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Dead Drop URLhttps://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat
Discord Kanal1160855778916319336

DiscordCDNDropper — Perfil do malware

Discord CDN uzerinden payload indiren .NET dropper. Payload Discord attachment olarak depolanir (.dat uzantisiyla gizlenir). CDN URL imzali (gecici erisim). RepositoryTokenFilter, injectlast stringleri.

Tipo de malware
Loader
Linguagem de programação
C#/.NET
Protocolo C2
HTTPS/Discord CDN
Sistemas-alvo
Küresel

Capacidades e comportamento

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Lista IOC (1 indicadores)

IOC — DiscordCDNDropper
# SHA256 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
TipoValorNota
sha256 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Tags
discordcdndropperdiscord-cdn-dropperdiscord-dead-drop-payload-deliverycdn-discordapp-com-jvvlpovxdup-dat-attachment-dead-dropinjectlast-token-injection-string-evidencerepositorytokenfilter-loginpredicate-authentication-bypasssystem-net-sockets-tcp-connectiondiscord-c2-channel-cdnattachment-payload