CMDPSDropper
CMD to PowerShell dropper. Rgqvr junk-string obfuscation in .cmd script. Contacts vrstem.IO C2. Launches PowerShell minimized. Embedded base64 encrypted payload. String replacement for InvokeExpression construction.
Tehdit Profili
Tür
Loader
Yazılım DiliCMD/PowerShell
C2 ProtokolüHTTPS
İlk Görülme2024
Hedef Kitle
Küresel
Amaç / Yetenekler
- Dropper/Downloader
C2 Sunucuları 1
| Adres | Port | Protokol | Durum | Eylem |
|---|---|---|---|---|
vrstem.io
|
443 | HTTPS | INACTIVE |
⚠ C2 adresleri yalnızca tehdit istihbaratı ve savunma amacıyla paylaşılmaktadır. Bu adreslere yetkisiz erişim yasal suç teşkil eder.
Araştırma Raporları (1)
CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek
CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.
Raporu Oku →