JSGuLdr: Flertrinns laster leverer PhantomStealer #ANYRUN forskerne identifiserte #JSGuLdr, en flertrinns JavaScript-til-PowerShell-laster som brukes til å levere #PhantomStealer. En JScript-fil utløser PowerShell gjennom et Explorer COM-kall, henter det andre trinnet fra %APPDATA%\Registreri62, og bruker deretter Net.WebClient for å hente en kryptert nyttelast fra Google Drive til %APPDATA%\Autorise131[.]Tel. Nyttelasten dekodes i minnet og lastes inn, med PhantomStealer injisert i msiexec.exe. Henrettelseskjede: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Se analyseøkt: 👉 Les hele analysen: