Un'esca JavaScript a tema documento, PowerShell e Blogspot formano una catena di distribuzione che inserisce PureLog Stealer in memoria, mostrando come strumenti familiari possano essere piegati in una pipeline malware furtiva.
Una vulnerabilità di path traversal nella versione Windows di WinRAR è stata collegata all'estrazione di archivi che può inserire un collegamento nella cartella Esecuzione automatica, quindi usare lo staging con PowerShell e il caricamento in memoria per rendere più difficile il rilevamento.
Una recente campagna LokiBot combina JScript offuscato con PowerShell, mostrando come lo scripting nativo di Windows possa ancora trasportare il furto di credenziali commodity oltre i controlli perimetrali rumorosi.