JSGuLdr: Loader Multi-Stage che Consegna PhantomStealer I ricercatori di #ANYRUN hanno identificato #JSGuLdr, un loader multi-stage da JavaScript a PowerShell utilizzato per consegnare #PhantomStealer. Un file JScript attiva PowerShell tramite una chiamata COM di Explorer, estrae la seconda fase da %APPDATA%\Registreri62, quindi utilizza Net.WebClient per recuperare un payload crittografato da Google Drive in %APPDATA%\Autorise131[.]Tel. Il payload viene decodificato in memoria e caricato, con PhantomStealer iniettato in msiexec.exe. Catena di esecuzione: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Vedi la sessione di analisi: 👉 Leggi l'analisi completa: