文章总结： BlankGrabber恶意软件运营者通过伪造证书加载器隐藏多阶段感染链，利用certutil.exe工具将Rust可执行文件伪装成证书数据以规避检测。该链始于Gofile.io托管的批处理脚本，经反沙箱检查后释放自解压RAR存档，集成Xworm远程访问工具与PyInstaller打包的BlankGrabber窃取程序。窃取程序通过高度混淆的Python存根解密执行，收集密码、Cookie、加密钱包等数据，并使用Telegram机器人及公共网络服务泄露信息。 综合评分： 88 文章分类： 恶意软件,威胁情报,漏洞分析,终端安全,web安全

伪造证书加载器隐藏 BlankGrabber 恶意软件链

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月29日 13:28 北京

BlankGrabber 的运营者现在滥用伪造的“证书”加载器来隐藏多阶段的 Rust 和 Python 感染链，使得这种商品窃取程序在 Windows 终端上更难被发现。

这项新技术依赖于内置工具（如 certutil.exe）、高度混淆的 PyInstaller 存根，以及通过 Telegram和公共网络服务进行的隐蔽数据泄露，以逃避静态和行为检测。

乍一看，该脚本解码数据并将其传递给 certutil.exe 以安装看似 Windows 证书的东西。

更深入的分析表明，编码后的 blob 根本不是证书，而是一个编译后的 Rust 可执行文件，它充当暂存器，负责解密和启动真正的有效载荷。

根据 Splunk 威胁研究团队 (STRT) 的说法，最近的 BlankGrabber 攻击活动始于托管在 Gofile.]io 文件共享服务上的批处理脚本。

Rust stager 通过伪装成证书数据并仅显示内存中的下一阶段，增加了一层混淆。

它还会执行反沙箱检查，查找诸如“Triage”、“Sandbox”、“Malware”或“Zenbox”之类的可疑驱动程序、用户名和计算机名称，以避免在自动化分析环境中引爆。

一旦确认目标系统是真正的受害者系统，它就会解密并释放一个自解压 RAR (SFX) 存档到 %TEMP% 目录，使用的文件名通常是几个看起来很无害的文件名，例如 OneDriveUpdateHelper.exe、RuntimeBroker.exe 或 MicrosoftEdgeUpdate.exe。

XWorm + BlankGrabber 集成于单个音效中

SFX 归档包含多个组件，特别是 XWorm 远程访问客户端 (host.exe) 和 PyInstaller 打包的 BlankGrabber 窃取程序 (Knock.exe)，从而可以在同一主机上进行远程控制和大规模数据窃取。

将这些工具打包在一起，可以帮助攻击者横向移动、持久化并一次性窃取数据。

BlankGrabber 本身最初是作为开源 Python 信息窃取工具发布的，它通过 GUI 构建器构建，该构建器将 Python 代码、第三方库和嵌入式工具封装到一个可执行文件中。

STRT 的分析表明，PyInstaller 包隐藏了一个名为“blank.aes”的加密数据块，该数据块在运行时使用自定义的 AES 例程进行解密，以重建下一阶段的 ZIP 存档。

该存档包含另一个经过高度混淆的 Python 存根，它使用 zlib 压缩以及 Base64、ROT13 和字符串反转来分层加载逻辑，最终恢复可运行的 BlankGrabber 存根。

BlankGrabber 完全解压后，会执行广泛的环境检查，通过检查 UUID、适配器供应商以及连接到随机域来测试模拟的互联网响应，从而发现虚拟机、伪造的网络和安全工具。

然后，它使用 systeminfo、getmac、WMI 查询（例如 Win32_ShortcutFile、AntivirusProduct、csproduct）和网络摄像头捕获等命令来分析受害者，并枚举已保存的 Wi-Fi 配置文件，以通过 netsh 提取明文 WLAN 密钥。

对于数据窃取，窃取者会解析 Chromium 和 Firefox 数据库以导出密码、cookie、历史记录和自动填充数据，抓取加密钱包扩展程序，并以 Telegram、Discord、Steam、Epic Games、Roblox 和 Minecraft 等平台为目标。

它还可以收集剪贴板文本，通过 PowerShell 截取基于 .NET 的屏幕截图，收集文档和凭据文件类型，并使用受密码“Blank123”保护的嵌入式 rar.exe 实用程序归档所有内容。

数据泄露依赖于Telegram 机器人和被滥用的网络服务的组合，包括 IP 查询 API（如 ip-api[.]com）和流行的文件共享或粘贴平台。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《伪造证书加载器隐藏 BlankGrabber 恶意软件链》