CMDPSDropper

CMD から PowerShell ドロッパーへ。 .cmd スクリプトでの Rgqvr ジャンク文字列の難読化。 vrstem.IO C2 に連絡します。 PowerShell を最小化して起動します。埋め込まれたbase64暗号化ペイロード。 InvokeExpression 構築のための文字列置換。

脅威プロファイル
タイプ Loader
プログラミング言語CMD/PowerShell
C2プロトコルHTTPS
初回検出2024
標的 Küresel
目的 / 機能
  • ドロッパー/ダウンローダー

C2サーバー 1

アドレス ポート プロトコル ステータス 操作
vrstem.io
443 HTTPS INACTIVE

⚠ C2アドレスは脅威インテリジェンスおよび防御目的でのみ共有されています。これらのアドレスへの不正アクセスは犯罪となります。

リサーチレポート (1)

CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek

CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.

レポートを読む →