这个2023年冒头的窃密木马，把Windows自带工具变成了特洛

2023年，安全圈第一次注意到BlankGrabber。两年过去，它没死，反而学会了更隐蔽的渗透手法——把Windows系统自带的证书工具，改造成恶意软件的"快递车"。

Splunk安全团队最近扒出一起新样本：攻击者把恶意代码伪装成证书安装脚本，上传到Gofile.io文件分享平台。用户一旦运行，后台会悄然启动一条多层感染链，全程不触发常规安全软件的警报。

证书工具怎么成了"帮凶"

BlankGrabber的加载器盯上了certutil.exe——这个Windows内置的证书管理工具，正常用途是处理SSL证书和加密文件。攻击者让它解码一段"证书数据"，实际内容却是一个用Rust编写的stager（暂存程序）。

这个stager的设计相当谨慎。它先检查系统环境，把驱动列表、用户名、计算机名和一份硬编码名单比对。名单里列着"Triage""Zenbox""Sandbox"等常见沙箱标识，一旦发现匹配，立刻退出，避免被安全研究人员捕获。

确认环境"干净"后，stager向%TEMP%文件夹投放一个自解压RAR压缩包。里面藏着两个恶意程序：XWorm远程控制客户端（host.exe）和BlankGrabber本体（Knock.exe）。为了蒙混过关，文件会被随机重命名为OneDriveUpdateHelper.exe或SteamService.exe这类看似正常的系统进程名。

Python木马的"打包"生意

BlankGrabber的核心是用Python写的，但用户看到的却是.exe可执行文件。攻击者用了PyInstaller把脚本打包成独立程序，里面还塞了一个加密文件叫"blank_aes"。运行时会动态解密，把敏感操作藏在内存里执行，硬盘上几乎不留痕迹。

这种"即抛即用"的设计，让BlankGrabber的迭代速度极快。模块化架构允许攻击者按需组合功能——要浏览器密码就加对应模块，要加密货币钱包就换另一个。传统基于特征码的杀毒软件往往跟不上它的更新节奏。

BlankGrabber的窃取清单很长：浏览器保存的账号密码、会话令牌、剪贴板内容、Wi-Fi密码、加密货币钱包数据，还能偷偷截图和调用摄像头。更麻烦的是，它每次行动都会把XWorm一起带进来，让攻击者既能偷数据，又能长期遥控受害机器。

传播渠道：Discord、GitHub和"破解版"陷阱

BlankGrabber不靠技术漏洞，专攻人性弱点。它的主要传播路径有三条：伪装成破解软件的下载链接、Discord群里分享的恶意压缩包、以及假冒知名开源项目的GitHub仓库。

GitHub那条路尤其隐蔽。攻击者会fork（复制）热门工具仓库，把README和界面做得和原版几乎一样，只在release里替换掉安装包。开发者搜索工具时，稍不留神就会点到"李鬼"链接。

Discord则更直接。游戏MOD群、软件分享频道里，攻击者上传带密码的压缩包，密码写在消息里，营造出"内部资源"的错觉。解压运行，感染链就启动了。

Splunk分析师指出，BlankGrabber的证书加载器手法并非孤例。把合法系统工具武器化，已经成为地下市场的显学——因为白名单里的程序，往往是安全监控的盲区。

一个值得注意的细节是：BlankGrabber的Rust stager会专门检测中文用户名环境。某些变体甚至会跳过特定地区的机器，暗示攻击者可能有明确的地理目标偏好，或者单纯想减少被特定安全团队追踪的风险。

如果你最近在非官方渠道下载过"破解版"工具，或者从Discord群文件里解压过带密码的压缩包——你的机器现在是否还在你完全掌控之中？