CMDPSDropper
Cuentagotas de CMD a PowerShell. Ofuscación de cadena basura de Rgqvr en script .cmd. Contactos vrstem.IO C2. Inicia PowerShell minimizado. Carga útil cifrada base64 integrada. Reemplazo de cadena para la construcción de InvokeExpression.
Perfil de amenaza
Tipo
Loader
Lenguaje de programaciónCMD/PowerShell
Protocolo C2HTTPS
Primera detección2024
Objetivos
Küresel
Propósito / Capacidades
- Gotero/Descargador
Servidores C2 1
| Dirección | Puerto | Protocolo | Estado | Acción |
|---|---|---|---|---|
vrstem.io
|
443 | HTTPS | INACTIVE |
⚠ Las direcciones C2 se comparten únicamente con fines de inteligencia de amenazas y defensa. El acceso no autorizado a estas direcciones constituye un delito.
Informes de investigación (1)
CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek
CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.
Leer informe →