JSGuLdr：多阶段加载器交付 PhantomStealer #ANYRUN 研究人员识别了 #JSGuLdr，这是一种多阶段的 JavaScript 到 PowerShell 加载器，用于交付 #PhantomStealer。一个 JScript 文件通过 Explorer COM 调用触发 PowerShell，从 %APPDATA%\Registreri62 拉取第二阶段，然后使用 Net.WebClient 从 Google Drive 获取加密有效载荷到 %APPDATA%\Autorise131[.]Tel。有效载荷在内存中解码并加载，PhantomStealer 被注入到 msiexec.exe 中。 执行链：wscript.exe ➡️ explorer.exe (svchost.exe) ➡️ explorer.exe (COM) ➡️ powershell.exe ➡️ msiexec.exe 👉 查看分析会话： 👉 阅读完整分析：