JSGuLdr: Monivaiheinen lataaja toimittaa PhantomStealerin #ANYRUN tutkijat tunnistivat #JSGuLdr, monivaiheisen JavaScript–PowerShell-lataajan, jota käytetään #PhantomStealer toimittamiseen. JScript-tiedosto käynnistää PowerShellin Explorer COM -kutsun kautta, hakee toisen vaiheen %APPDATA%\Registreri62:sta ja käyttää Net.WebClientia hakeakseen salatun payloadin Google Drivesta osoitteeseen %APPDATA%\Autorise131[.]Puh. Hyötykuorma puretaan muistissa ja ladataan, ja PhantomStealer injektoidaan msiexec.exe. Suoritusketju: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Katso analyysisessio: 👉 Lue koko analyysi: