Statik Analiz — NETDropper (Facturaelectriccorrespo) | Tehdit: 높음

파일 Kimliği

SHA2560b3236531c608af3cdb33b3f09ab0d5bbd61f67cc341faa92c1c2cb2258bd409
파일 이름Facturaelectriccorrespo (ZIP 948KB → .NET PE 1,005,056 byte)
유형ZIP → PE32 .NET executable (mscoree.dll → _CorExeMain)
Entropi7.90 (en yüksek bu örnekte — neredeyse şifreli)
ImportYalnızca mscoree.dll (tek import = pure .NET)

"Factura" Kurbansal Lür

"Facturaelectriccorrespo" = "Factura" (İspanyolca: fatura) + "electriccorrespondence"
-- İspanyolca fatura yazışma lürü
-- Hedef bölge: Latin Amerika veya İspanya
-- Teslimat: E-posta eki (ZIP dosyası → zararsız görünüm)
-- Açma sonrası: .NET dropper çalışır
-- Sosyal mühendislik: "Elektrik faturası yazışması" → kurban açar

XZvu.exe: Gömülü PE Payload

PAYLOAD: .NET dropper içinde XZvu.exe adlı yürütülebilir gizli!
XZvu.exe  (x3 görünüm — embedded executable)
-- "XZvu": obfuskeli rastgele isim
-- .NET Resource içinde saklanmış → çalışma zamanında çıkarılır
  System.Resources.ResourceManager.GetObject("XZvu")
  → byte[] → File.WriteAllBytes(tempPath + "XZvu.exe", bytes)
  → Process.Start("XZvu.exe")
-- Gömülü PE'nin içeriği: yüksek entropi nedeniyle statik analiz edilemiyor
  Olası içerik: AgentTesla, AsyncRAT, FormBook, LokiBot veya özel RAT
-- System.Drawing.Bitmap: imaj içinde payload gizlenmiş olabilir (steganografi)

TAes!: AES Şifreleme Kanıtı

"TAes!" string parçası
-- .NET'te AES sınıfı: System.Security.Cryptography.Aes
-- "TAes!" = AES kullanımını gizleyen obfuskeli referans
-- Olası kullanım:
  1. XZvu.exe payload'ı AES ile şifreli kaynakta saklanmış
  2. C2 iletişimi AES şifreli
  3. Konfigürasyon bloğu AES ile korumalı

-- Entropi 7.90 + AES referansı: tüm payload şifreli kaynakta saklanmış
-- .NET'te standart pattern:
  using Aes aes = Aes.Create();
  aes.Key = Convert.FromBase64String(hardcodedKey);
  aes.IV = Convert.FromBase64String(hardcodedIV);
  byte[] decrypted = aes.DecryptCbc(encryptedPayload, aes.IV);
  File.WriteAllBytes("XZvu.exe", decrypted);

IOC

SHA2560b3236531c608af3cdb33b3f09ab0d5bbd61f67cc341faa92c1c2cb2258bd409
Gömülü PEXZvu.exe
ŞifrelemeAES (TAes! referansı)
Entropi7.90

NETDropper — 악성코드 프로필

.NET dropper using Spanish invoice lure (Factura). Drops XZvu.exe embedded PE payload. AES encryption (TAes! reference). Entropy 7.90 maximum packing. Pure .NET binary (single import mscoree.dll). System.Drawing.Bitmap image manipulation.

악성코드 유형
Loader
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTPS
대상 시스템
Latin Amerika/İspanya

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — NETDropper
# SHA256 0b3236531c608af3cdb33b3f09ab0d5bbd61f67cc341faa92c1c2cb2258bd409
유형메모
sha256 0b3236531c608af3cdb33b3f09ab0d5bbd61f67cc341faa92c1c2cb2258bd409
태그
netdroppernet-dropperfacturaelectriccorrespo-dotnet-dropperxzvu-exe-embedded-pe-payload-internal-executableentropy-7-90-maximum-packing-encrypted-dotnettaes-aes-encryption-crypto-evidencemscoree-dll-single-import-pure-dotnet-binarysystem-drawing-bitmap-image-manipulationpanel-aggregate-dotnet-gui-componentsfactura-invoice-lure-spanish-language