JSGuLdr: Vícestupňový nakladač doručující PhantomStealer #ANYRUN výzkumníci identifikovali #JSGuLdr, vícestupňový JavaScript-to-PowerShell loader používaný k doručování #PhantomStealer. Soubor JScript spustí PowerShell přes COM volání Průzkumníka, stáhne druhou fázi z %APPDATA%\Registreri62 a poté pomocí Net.WebClient načetne šifrovaný payload z Google Drive do %APPDATA%\Autorise131[.]Tel. Obsah je dekódován v paměti a načten, přičemž PhantomStealer je vkládán do msiexec.exe. Řetězec provádění: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Viz analytická sezení: 👉 Přečtěte si kompletní analýzu: