CMDPSDropper
Conta-gotas CMD para PowerShell. Ofuscação de string indesejada Rgqvr no script .cmd. Contatos vrstem.IO C2. Inicia o PowerShell minimizado. Carga útil criptografada base64 incorporada. Substituição de string para construção InvokeExpression.
Perfil de ameaça
Tipo
Loader
Linguagem de programaçãoCMD/PowerShell
Protocolo C2HTTPS
Primeira detecção2024
Alvos
Küresel
Propósito / Capacidades
- Conta-gotas/baixador
Servidores C2 1
| Endereço | Porta | Protocolo | Status | Ação |
|---|---|---|---|---|
vrstem.io
|
443 | HTTPS | INACTIVE |
⚠ Os endereços C2 são compartilhados exclusivamente para fins de inteligência de ameaças e defesa. O acesso não autorizado a esses endereços constitui crime.
Relatórios de pesquisa (1)
CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek
CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.
Ler relatório →