JSGuLdr: 多階段加載器交付 PhantomStealer #ANYRUN 研究人員識別出 #JSGuLdr，這是一個多階段的 JavaScript 到 PowerShell 加載器，用於交付 #PhantomStealer。一個 JScript 文件通過 Explorer COM 調用觸發 PowerShell，從 %APPDATA%\Registreri62 拉取第二階段，然後使用 Net.WebClient 從 Google Drive 獲取加密的有效載荷到 %APPDATA%\Autorise131[.]Tel。有效載荷在內存中解碼並加載，PhantomStealer 被注入到 msiexec.exe 中。 執行鏈：wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 查看分析會議： 👉 閱讀完整分析：