JSGuLdr: багатоступеневий завантажувач, що доставляє PhantomStealer #ANYRUN дослідники виявили #JSGuLdr — багатоступеневий завантажувач JavaScript-to-PowerShell, який використовується для доставки #PhantomStealer. Файл JScript запускає PowerShell через виклик Explorer COM, витягує другий етап з %APPDATA%\Registreri62, а потім використовує Net.WebClient для завантаження зашифрованого корисного навантаження з Google Drive у %APPDATA%\Autorise131[.]Тель. Корисне навантаження декодується в пам'яті та завантажується, а PhantomStealer впроваджується у msiexec.exe. Ланцюжок виконання: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Дивіться аналітичну сесію: 👉 Читайте повний аналіз: