JSGuLdr: Loader Multi-Tahap Mengirimkan PhantomStealer #ANYRUN peneliti mengidentifikasi #JSGuLdr, pemuat JavaScript-ke-PowerShell multi-tahap yang digunakan untuk mengirimkan #PhantomStealer. File JScript memicu PowerShell melalui panggilan COM Explorer, menarik tahap kedua dari %APPDATA%\Registreri62, lalu menggunakan Net.WebClient untuk mengambil muatan terenkripsi dari Google Drive ke %APPDATA%\Autorise131[.]Tel. Muatan didekodekan dalam memori dan dimuat, dengan PhantomStealer disuntikkan ke dalam msiexec.exe. Rantai eksekusi: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Lihat sesi analisis: 👉 Baca analisis lengkapnya: