CMDPSDropper

CMD 到 PowerShell 滴管。 .cmd 脚本中的 Rgqvr 垃圾字符串混淆。联系方式 vrstem.IO C2。最小化启动 PowerShell。嵌入式 base64 加密有效负载。 InvokeExpression 构造的字符串替换。

威胁档案
类型 Loader
编程语言CMD/PowerShell
C2协议HTTPS
首次发现2024
目标 Küresel
用途 / 能力
  • 滴管/下载器

C2服务器 1

地址 端口 协议 状态 操作
vrstem.io
443 HTTPS INACTIVE

⚠ C2 地址仅用于威胁情报和防御目的。未经授权访问这些地址属于违法行为。

研究报告 (1)

CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek

CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.

阅读报告 →