JSGuLdr: Многоступенчатый загрузчик, доставляющий PhantomStealer #ANYRUN исследователи идентифицировали #JSGuLdr, многоступенчатый загрузчик JavaScript-to-PowerShell, используемый для доставки #PhantomStealer. Файл JScript запускает PowerShell через вызов COM в Explorer, загружает второй этап из %APPDATA%\Registreri62, затем использует Net.WebClient для получения зашифрованного полезного груза из Google Drive в %APPDATA%\Autorise131[.]Tel. Полезный груз декодируется в памяти и загружается, с PhantomStealer, внедренным в msiexec.exe. Цепочка выполнения: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 См. сессию анализа: 👉 Читайте полный анализ: