CMDPSDropper

CMD-zu-PowerShell-Dropper. Rgqvr-Junk-String-Verschleierung im .cmd-Skript. Kontakte vrstem.IO C2. Startet PowerShell minimiert. Eingebettete Base64-verschlüsselte Nutzlast. String-Ersetzung für die InvokeExpression-Konstruktion.

Bedrohungsprofil
Typ Loader
ProgrammierspracheCMD/PowerShell
C2-ProtokollHTTPS
Erstmals gesehen2024
Ziele Küresel
Zweck / Fähigkeiten
  • Dropper/Downloader

C2-Server 1

Adresse Port Protokoll Status Aktion
vrstem.io
443 HTTPS INACTIVE

⚠ C2-Adressen werden ausschließlich zu Threat-Intelligence- und Verteidigungszwecken geteilt. Unbefugter Zugriff auf diese Adressen ist strafbar.

Forschungsberichte (1)

Hoch

CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek

CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.

Bericht lesen →