PSLoaderDLL

"-executionpolicy 우회 -nop -w 숨겨진 상태로 PowerShell을 시작하기 위해 WMI(프로세스 호출 생성)를 사용하는 PowerShell 로더 DLL입니다. macOS Chrome 102 사용자 에이전트 위장을 사용한 HTTP 멀티파트 POST. 가짜 원본/리퍼러: null.jsbin.com. 사용자 정의 .tpp0/.tpp1 파일을 생성합니다. 파일 업로드를 위한 WebKit 양식 경계."

위협 프로필
유형 Loader
프로그래밍 언어C/C++
C2 프로토콜HTTP
첫 감지2024
대상 Kuresel
목적 / 기능
  • 로더/드로퍼
이 패밀리에 대해 아직 확인된 C2 서버가 없습니다.

연구 보고서 (1)

높음

PSLoaderDLL 05c72e77 -- WMI PowerShell bypass nop hidden Execution HTTP Multipart POST macOS Chrome User-Agent null.jsbin.com Fake Origin tpp0 tpp1 Custom Extension | Yuksek

PSLoaderDLL 05c72e77 PE32 DLL x86 413KB. WMI process call create PowerShell -bypass -nop -hidden. HTTP POST multipart macOS Chrome UA. Origin: null.jsbin.com. .tpp0/.tpp1 extensions.

보고서 읽기 →