JSGuLdr: Carregador de Múltiplas Etapas Entregando PhantomStealer #ANYRUN pesquisadores identificaram #JSGuLdr, um carregador JavaScript-para-PowerShell de múltiplas etapas usado para entregar #PhantomStealer. Um arquivo JScript aciona o PowerShell através de uma chamada COM do Explorer, puxa a segunda etapa de %APPDATA%\Registreri62, e então usa Net.WebClient para buscar uma carga útil criptografada do Google Drive para %APPDATA%\Autorise131[.]Tel. A carga útil é decodificada na memória e carregada, com PhantomStealer injetado no msiexec.exe. Cadeia de execução: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Veja a sessão de análise: 👉 Leia a análise completa: