JSGuLdr: Trình tải nhiều giai đoạn cung cấp PhantomStealer #ANYRUN các nhà nghiên cứu đã xác định #JSGuLdr, một trình tải JavaScript-to-PowerShell nhiều giai đoạn được sử dụng để cung cấp #PhantomStealer. Một tệp JScript kích hoạt PowerShell thông qua một cuộc gọi COM của Explorer, kéo giai đoạn thứ hai từ %APPDATA%\Registreri62, sau đó sử dụng Net.WebClient để lấy một payload được mã hóa từ Google Drive vào %APPDATA%\Autorise131[.]Tel. Payload được giải mã trong bộ nhớ và được tải, với PhantomStealer được tiêm vào msiexec.exe. Chuỗi thực thi: wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 Xem phiên phân tích: 👉 Đọc phân tích đầy đủ: