Затишье перед кражей: многослойный Python-стеалер BlankGrabber обходит защиту и крадёт всё

Впервые замеченный в 2023 году, BlankGrabber представляет собой модульный вредоносный код на Python, предназначенный для кражи конфиденциальной информации: учётных данных браузеров, сессионных токенов, системных метаданных, файлов и даже скриншотов с веб-камеры. Его основными векторами распространения остаются методы социальной инженерии: фишинговые кампании, поддельные репозитории на GitHub, маскирующиеся под полезные утилиты, а также архивы с "взломанным" программным обеспечением, распространяемые через платформы вроде Discord. Попадая в систему, похититель закрепляется (persistence) и отправляет собранные данные на управляемые злоумышленниками серверы, так называемые C2 (Command and Control, командно-контрольные серверы).

Однако главной особенностью BlankGrabber является не его конечная цель, а сложный многослойный процесс доставки и исполнения, буквально нашпигованный техниками обфускации и противодействия анализу. Исследователи STRT проанализировали цепочку заражения, начиная с загрузчика. В одном из изученных случаев вредоносная нагрузка доставлялась с помощью пакетного файла, размещённого на файлообменном сервисе Gofile[.]io. Этот скрипт использовал легитимную системную утилиту "certutil.exe" для декодирования данных, маскирующихся под сертификат. На самом деле, как выяснилось, закодированное содержимое представляло собой скомпилированный исполняемый файл на Rust, выступающий в роли стейджера (stager) - промежуточного звена, ответственного за расшифровку и запуск основной полезной нагрузки.

Этот стейджер, в свою очередь, был оснащён рядом техник для обнаружения виртуальных машин и песочниц (sandbox). Он проверял наличие драйверов, характерных для сред анализа, а также сравнивал имя пользователя и компьютера с заранее заданным списком подозрительных значений, таких как "Sandbox", "Triage" или "Malware". При обнаружении признаков автоматизированного окружения выполнение прерывалось, что затрудняет исследование образцов в лабораторных условиях. После успешного прохождения проверок стейджер расшифровывал финальную нагрузку - самораспаковывающийся RAR-архив (SFX), который, в свою очередь, содержал два основных компонента: клиент бэкдора XWorm и сам скомпилированный BlankGrabber.

Согласно отчёту STRT, ключевой сложностью анализа BlankGrabber является его глубокая обфускация, соответствующая тактике MITRE ATT&CK "Obfuscated Files or Information" (T1027). Злоумышленники используют PyInstaller для упаковки Python-скрипта в автономный исполняемый файл, скрывающий читаемый исходный код. Внутри такого пакета исследователи обнаружили файл с высокоэнтропийными данными "blank.aes", который дешифровался на лету с помощью модифицированного алгоритма AES-GCM. Только после успешной расшифровки открывался доступ к следующему слою - ZIP-архиву с обфусцированным Python-байткодом, который, в свою очередь, использовал цепочку кодировок Base64, ROT13 и реверс строк для сокрытия конечного стеала.

Функционал самого BlankGrabber впечатляет своим размахом сбора данных, что соответствует десяткам тактик матрицы MITRE ATT&CK. Помимо стандартного парсинга данных браузеров (пароли, куки, историю, данные автозаполнения) и криптокошельков, вредонос выполняет множество системных команд: собирает информацию о сети через публичные сервисы вроде ip-api[.]com, делает скриншоты экрана и снимки с веб-камеры, извлекает сохранённые пароли от Wi-Fi, копирует содержимое буфера обмена и перечисляет файлы различных форматов на диске. Для повышения привилегий используется метод обхода UAC, а для обеспечения устойчивости - добавление в автозагрузку через папку Startup.

Особое внимание уделяется противодействию защите. BlankGrabber активно пытается отключить Microsoft Defender, добавляя свой путь в список исключений и удаляя сигнатуры, а также блокирует доступ к сайтам производителей средств безопасности, прописывая их в системный файл "hosts". Все собранные данные архивируются с помощью встроенной утилиты "rar.exe" под паролем "Blank123" и отправляются злоумышленникам через публичные файлообменные сервисы или Telegram-бота.

С практической точки зрения, столь комплексная атака требует не менее комплексного подхода к обнаружению. Аналитики Splunk предлагают ряд корреляционных правил для своей платформы, направленных на выявление аномалий, связанных с поведением BlankGrabber. Среди них - детектирование запросов к реестру за ключом продукта Windows, DNS-запросов к API Telegram, обращений к сервисам проверки IP, запуска WinRAR вне стандартных путей установки, подозрительного доступа к файлу "hosts" и выполнения специфических WMI-запросов для разведки системы. Эти сигналы, объединённые в единую картину, позволяют выявить цепочку вредоносной активности даже в условиях использования злоумышленниками легитимных инструментов и сложной обфускации.

Появление и активное развитие таких угроз, как BlankGrabber, подчёркивает тренд на усложнение и профессионализацию даже массового вредоносного ПО. Атаки становятся многоэтапными, используют легитимное ПО (Living-off-the-Land), активно противодействуют анализу и внедряют продвинутые методы обфускации. Для защитников это означает необходимость перехода от простого сигнатурного анализа к комплексному мониторингу поведения и корреляции слабых сигналов, которые в отдельности могут казаться безобидными, но вместе рисуют картину целенаправленной кражи данных.

SHA256

• 268d12a71b7680e97a4223183a98b565cc73bbe2ab99dfe2140960cc6be0fc87