文章总结： 文档披露了新型Python窃取器CharlieKirkGrabber，该恶意软件针对Windows系统，通过钓鱼与破解软件传播。其利用系统原生工具进行防御规避，窃取浏览器凭据与Wi-Fi密码，并经由Discord或Telegram外传数据。建议企业实施多因素认证，监控异常流量与进程，利用AppLocker限制临时目录执行权限以加强防御。 综合评分： 85 文章分类： 恶意软件,威胁情报,安全建设,应急响应

CharlieKirk Grabber 窃取器攻击 Windows 系统以窃取登录凭据

原创

ZM ZM

暗镜

2026年2月21日 10:09 辽宁

一种名为 CharlieKirk Grabber 的基于 Python 的新型信息窃取程序已被发现，该程序以 Windows 系统为目标，其主要目的是窃取存储的登录凭据、浏览器 cookie 和会话数据。

该恶意软件被设计成一种“速战速决”的威胁——它启动迅速，收集所有能找到的敏感数据，并在用户注意到任何异常情况之前消失。

该恶意软件以 Windows 可执行文件的形式出现，通过名为 PyInstaller 的工具进行打包，该工具将其所有 Python 代码捆绑到一个单独的自包含文件中，该文件无需在目标计算机上安装 Python 即可运行。

它借用了美国转折点组织（Turning Point USA）的名称和政治意象，利用社会工程学手段进行攻击。该恶意软件通常通过钓鱼邮件、破解软件、游戏作弊程序下载或社交媒体诱饵传播。

，并指出它使用了一种构建器式结构，使其具有模块化特性。

这意味着操作者可以自由配置命令与控制 (C2) 设置（例如 Discord webhook 或 Telegram 机器人），并在部署最终可执行文件之前打开或关闭特定的收集模块。

来分析主机。

它使用 Windows TASKKILL 工具强制终止正在运行的浏览器进程，从而解锁对已保存密码数据库的访问权限。

被盗数据（包括密码、cookie、自动填充条目、浏览历史记录和 Wi-Fi 凭据）随后被打包成 ZIP 压缩包并上传到 GoFile 文件托管平台。

下载链接会立即通过或 Telegram 机器人以 HTTPS 协议发送给攻击者，所有通信均保持加密状态。

这种窃取程序之所以特别难以检测，是因为它大量使用了每个安装系统中都已包含的合法 Windows 工具。

该恶意软件不会部署可疑的第三方文件，而是使用 NETSH.EXE 检索已保存的 Wi-Fi 密码，使用 SYSTEMINFO.EXE 映射硬件和操作系统详细信息，并使用 PowerShell 静默地将自己添加到 Microsoft Defender 的排除列表中。

这种被称为“借力打力”的方法，可以让恶意行为与正常的管理行为混杂在一起，从而避免被基于特征码的检测

企业应在所有关键服务中强制执行，并通过企业策略限制基于浏览器的密码存储。

安全团队应监控终止事件、到 Discord、Telegram 或 GoFile 的出站 HTTPS 流量以及用户可写目录中的任何 PowerShell 活动。

应该使用 AppLocker 或 Windows Defender 应用程序控制 (WDAC) 阻止从临时路径（例如%TEMP%和 ）执行程序。%APPDATA%

IOC;

| 指标类型 | 价值 | | — | — | | 文件名 | CharlieKirk.exe | | 文件大小 | 19.58 MB | | 文件类型 | 可执行文件 (PE32) | | MD5 | 598adf7491ff46f6b88d83841609b5cc | | SHA-256 | f56afcdfd07386ecc127aa237c1a045332e4cc5822a9bcc77994d8882f074dd1 | | 首次发现于野外 | 2026年2月 | | C2通道 | Discord Webhook / Telegram Bot API | | 渗漏平台 | gofile.io |

MITRE ATT&CK 映射:-

| 战术 | 技术标识 | 技术 | | — | — | — | | 发现 | T1082 | 系统信息发现 | | 发现 | T1033 | 系统所有者/用户发现 | | 凭证访问 | T1555.003 | 来自密码存储（Web浏览器）的凭据 | | 凭证访问 | T1552.001 | 不安全的凭据：文件中的凭据 | | 收藏 | T1560 | 存档收集的数据 | | 防御闪避 | T1202 | 间接命令执行（LOLBins） | | 防御闪避 | T1562.001 | 削弱防御：禁用或修改安全工具 | | 持久性 | T1053.005 | 计划任务/作业：计划任务 | | 权限提升（有条件） | T1548.002 | 滥用提升控制机制（UAC） | | 渗漏 | T1041 | C2通道渗漏 | | 渗漏 | T1567.002 | 数据泄露到云存储 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《CharlieKirk Grabber 窃取器攻击 Windows 系统以窃取登录凭据》