JSGuLdr: Cargador Multi-Etapa entregando PhantomStealer #ANYRUN investigadores identificaron #JSGuLdr, un cargador de JavaScript a PowerShell de varias etapas utilizado para entregar #PhantomStealer. Un archivo JScript activa PowerShell mediante una llamada COM en el Explorador, extrae la segunda etapa de %APPDATA%\Registreri62 y luego utiliza Net.WebClient para obtener una carga útil cifrada de Google Drive a %APPDATA%\Autorise131[.]Tel. La carga útil se decodifica en memoria y se carga, con PhantomStealer inyectado en msiexec.exe. Cadena de ejecución: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Ver sesión de análisis: 👉 Lee el análisis completo: