BlankGrabberは何を狙うのですか？

A. 情報の窃取と遠隔操作の足場づくりです。

BlankGrabberは2023年頃から観測されており、その後も拡張や変更が続いています。

今回注目されたのは、検出を避けるための機能のひとつです。

このマルウェアはWindowsの正規機能であるcertutil.exeを悪用し、内部の内容をデコードします。そこには、最終的な不正な処理を復号して動かすためのRust製ステージャーが含まれていました。このステージャーは、実行先が研究用の検証環境ではないかを確認してから次の段階に進みます。その後は、遠隔操作ツールと情報窃取ツールを展開し、正規のWindowsプロセスに似た名前で動作します。

BlankGrabber側のプログラムはPythonで作られ、PyInstallerで実行可能な形にされるとともに難読化も施されています。

侵入の入口としては、クラック版ソフトの配布や本物のユーティリティに見えるGitHubリポジトリなどが確認されています。

👉 詳細のブログはこちら