CMDPSDropper

Cuentagotas de CMD a PowerShell. Ofuscación de cadena basura de Rgqvr en script .cmd. Contactos vrstem.IO C2. Inicia PowerShell minimizado. Carga útil cifrada base64 integrada. Reemplazo de cadena para la construcción de InvokeExpression.

Perfil de amenaza
Tipo Loader
Lenguaje de programaciónCMD/PowerShell
Protocolo C2HTTPS
Primera detección2024
Objetivos Küresel
Propósito / Capacidades
  • Gotero/Descargador

Servidores C2 1

Dirección Puerto Protocolo Estado Acción
vrstem.io
443 HTTPS INACTIVE

⚠ Las direcciones C2 se comparten únicamente con fines de inteligencia de amenazas y defensa. El acceso no autorizado a estas direcciones constituye un delito.

Informes de investigación (1)

Alto

CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek

CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.

Leer informe →