CMDPSDropper
CMD-zu-PowerShell-Dropper. Rgqvr-Junk-String-Verschleierung im .cmd-Skript. Kontakte vrstem.IO C2. Startet PowerShell minimiert. Eingebettete Base64-verschlüsselte Nutzlast. String-Ersetzung für die InvokeExpression-Konstruktion.
Bedrohungsprofil
Typ
Loader
ProgrammierspracheCMD/PowerShell
C2-ProtokollHTTPS
Erstmals gesehen2024
Ziele
Küresel
Zweck / Fähigkeiten
- Dropper/Downloader
C2-Server 1
| Adresse | Port | Protokoll | Status | Aktion |
|---|---|---|---|---|
vrstem.io
|
443 | HTTPS | INACTIVE |
⚠ C2-Adressen werden ausschließlich zu Threat-Intelligence- und Verteidigungszwecken geteilt. Unbefugter Zugriff auf diese Adressen ist strafbar.
Forschungsberichte (1)
CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek
CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.
Bericht lesen →