CMDPSDropper

CMD to PowerShell dropper. Rgqvr junk-string obfuscation in .cmd script. Contacts vrstem.IO C2. Launches PowerShell minimized. Embedded base64 encrypted payload. String replacement for InvokeExpression construction.

Tehdit Profili
Tür Loader
Yazılım DiliCMD/PowerShell
C2 ProtokolüHTTPS
İlk Görülme2024
Hedef Kitle Küresel
Amaç / Yetenekler
  • Dropper/Downloader

C2 Sunucuları 1

Adres Port Protokol Durum Eylem
vrstem.io
443 HTTPS INACTIVE

⚠ C2 adresleri yalnızca tehdit istihbaratı ve savunma amacıyla paylaşılmaktadır. Bu adreslere yetkisiz erişim yasal suç teşkil eder.

Araştırma Raporları (1)

Yüksek

CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek

CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.

Raporu Oku →