JSGuLdr: محمل متعدد المراحل يرسل فانتومستيلر حدد الباحثون #ANYRUN #JSGuLdr، وهو محمل جافاسكريبت إلى باورشل متعدد المراحل يستخدم لتقديم #PhantomStealer. يقوم ملف JScript بتفعيل PowerShell عبر استدعاء Explorer COM، ويسحب المرحلة الثانية من ٪APPDATA٪\Registreri62، ثم يستخدم Net.WebClient لجلب حمولة مشفرة من Google Drive إلى ٪APPDATA٪\Autorise131[.]تل. يتم فك تشفير الحمولة في الذاكرة وتحميلها، مع حقن PhantomStealer في msiexec.exe. سلسلة التنفيذ: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 انظر جلسة التحليل: 👉 اقرأ التحليل الكامل: