Statik Analiz — DiscordCDNDropper (.NET) | Tehdit: YÜKSEK

Dosya Kimliği

SHA25641ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Boyut66,560 byte (ZIP 30KB → .NET PE32)
Framework.NET v4.0.30319

cdn.discordapp.com/attachments: Dead Drop Payload

DISCORD CDN: Discord dosya paylaşım CDN'i ikinci aşama payload dağıtımı için kullanılıyor!
https://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat?ex=65b6f023&is=65a47b23&hm=...

-- Tam URL analizi:
  Domain: cdn.discordapp.com (Discord içerik dağıtım ağı)
  Kanal ID: 1160855778916319336 (discord kanal)
  Mesaj ID: 1196248399096328242 (discord mesajı)
  Dosya: Jvvlpovxdup.dat (obfuskeli isim — .dat uzantısı AV atlatma)
  ?ex= : URL imzası (geçici erişim token)

-- Discord CDN neden tercih ediliyor:
  1. HTTPS: trafik şifreli → AV/firewall göremez içerik
  2. Meşru domain: cdn.discordapp.com → whitelist'te
  3. Ücretsiz: hesap açılır, dosya yüklenir, silinene kadar kalır
  4. Hızlı kurulum: C2 sunucusu gerekmez
  5. Tespit zorluğu: CDN trafiği normal internet kullanımı gibi

-- "Jvvlpovxdup.dat": obfuskeli payload ismi
  - .dat uzantısı: .exe veya .dll değil → AV daha az şüphelenir
  - Muhtemelen şifreli/packed ikinci aşama

injectlast + token + _Token: Enjeksiyon Zinciri

injectlast
token
_Token
RepositoryTokenFilter
LoginPredicate
CreateDelegate

-- "injectlast": enjeksiyon sırasını belirten metod/değişken
  → enjeksiyon en son adım olarak gerçekleşiyor
-- "_Token" + "token": Discord bot token veya auth token
  → payload indirimek için Discord API auth gerekebilir
-- RepositoryTokenFilter: token'ları filtrele/yönet
-- LoginPredicate: giriş koşulunu değerlendir
-- CreateDelegate: .NET reflection tabanlı dinamik metod çağrısı
  → AV hook'larını atlatmak için reflection kullanılıyor

-- Muhtemel akış:
  1. DiscordCDNDropper başlar
  2. Discord CDN'den Jvvlpovxdup.dat indir
  3. Token ile kimlik doğrula (RepositoryTokenFilter)
  4. CreateDelegate → dinamik metod çağrısı (reflection)
  5. injectlast → yüklenen payload'ı enjekte et

IOC

SHA25641ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Dead Drop URLhttps://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat
Discord Kanal1160855778916319336

DiscordCDNDropper — Malware Profile

Discord CDN uzerinden payload indiren .NET dropper. Payload Discord attachment olarak depolanir (.dat uzantisiyla gizlenir). CDN URL imzali (gecici erisim). RepositoryTokenFilter, injectlast stringleri.

Malware Type
Loader
Programming Language
C#/.NET
C2 Protocol
HTTPS/Discord CDN
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DiscordCDNDropper
# SHA256 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
TypeValueNote
sha256 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
Tags
discordcdndropperdiscord-cdn-dropperdiscord-dead-drop-payload-deliverycdn-discordapp-com-jvvlpovxdup-dat-attachment-dead-dropinjectlast-token-injection-string-evidencerepositorytokenfilter-loginpredicate-authentication-bypasssystem-net-sockets-tcp-connectiondiscord-c2-channel-cdnattachment-payload