JSGuLdr: Carregador Multiestágio Entregando PhantomStealer #ANYRUN pesquisadores identificaram o #JSGuLdr, um carregador JavaScript para PowerShell em múltiplos estágios usado para entregar #PhantomStealer. Um arquivo JScript aciona o PowerShell por meio de uma chamada COM no Explorador, puxa a segunda etapa de %APPDATA%\Registreri62 e então usa o Net.WebClient para buscar um payload criptografado do Google Drive para %APPDATA%\Autorise131[.]Tel. A carga útil é decodificada na memória e carregada, com PhantomStealer injetado em msiexec.exe. Cadeia de execução: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Veja a sessão de análise: 👉 Leia a análise completa: