JSGuLdr: Cargador de múltiples etapas que entrega PhantomStealer Los investigadores de #ANYRUN identificaron #JSGuLdr, un cargador de múltiples etapas de JavaScript a PowerShell utilizado para entregar #PhantomStealer. Un archivo JScript activa PowerShell a través de una llamada COM de Explorer, obtiene la segunda etapa de %APPDATA%\Registreri62, y luego utiliza Net.WebClient para recuperar una carga útil encriptada de Google Drive en %APPDATA%\Autorise131[.]Tel. La carga útil se decodifica en memoria y se carga, con PhantomStealer inyectado en msiexec.exe. Cadena de ejecución: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Ver sesión de análisis: 👉 Leer análisis completo: