JSGuLdr: Çok Aşamalı Yükleyici PhantomStealer Sunuyor #ANYRUN araştırmacılar, #PhantomStealer sunmak için kullanılan çok aşamalı JavaScript-dan PowerShell'e yükleyici olan #JSGuLdr'yi tespit etti. Bir JScript dosyası, bir Explorer COM çağrısı aracılığıyla PowerShell'i tetikler, %APPDATA%\Registreri62'den ikinci aşamayı çeker ve ardından Net.WebClient kullanarak Google Drive'dan şifrelenmiş bir yükü %APPDATA%\Autorise131[.] adresine getirir.Tel. Yük bellekte çözülür ve yüklenir, PhantomStealer msiexec.exe'ye enjekte edilir. Uygulama zinciri: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Analiz oturumuna bakınız: 👉 Tam analizi okuyun: