Для маскировки приаттаченный файл снабжен двойным расширением — .txt.js. С той же целью вирусописатели используют обфускацию; при запуске зловред расшифровывает себя и записывает VBScript-файл в папку %TEMP%, используя cmd.exe. В итоге на машину жертвы загружается RAT-троян или инфостилер.

https://yandex.ru/news/story/Neulovimyj_JavaScript-dropper_shhedro_razdaet_RAT-troyanov_i_infostilerov--9a6c248ecea7cbe5870f8210a2295120?lang=ru&from=rss&wan=1