شهد عالم الأمن السيبراني مؤخراً تطوراً في أساليب برمجية خبيثة تُعرف باسم BlankGrabber، وهي برمجية سرقة معلومات تعتمد على لغة بايثون. يكشف هذا التهديد، الذي تم رصده لأول مرة في عام 2023، عن آليات معقدة ومتصاعدة لاستهداف المستخدمين العاديين عبر منصات إلكترونية شائعة.
يهدف BlankGrabber إلى جمع أكبر قدر ممكن من البيانات الحساسة قبل أن يتم اكتشافه، مستهدفاً بيانات اعتماد المتصفحات، ورموز الجلسات، وكلمات المرور المحفوظة، ومحتويات الحافظة، وكلمات مرور شبكة Wi-Fi، وبيانات محافظ العملات المشفرة، وحتى لقطات الشاشة ولمحات من كاميرا الويب. يسمح تصميمه المعياري للمهاجمين بتخصيص هجماتهم، في حين ساعدت دورة تطويره السريعة على التسلل عبر العديد من أدوات الأمان التقليدية.
آلية اختراق BlankGrabber المعقدة
كشف محللون من Splunk عن عينة loader لـ BlankGrabber تم استضافتها على منصة مشاركة الملفات Gofile[.]io. عند الفحص الدقيق، تبين أن ما بدا وكأنه نص برمجي عادي لتثبيت شهادة هو في الواقع آلية متعددة الطبقات للإصابة الخبيثة.
استخدم الـ loader أداة certutil.exe، وهي أداة نظام شرعية مدمجة في ويندوز، لفك تشفير ما بدا وكأنه بيانات شهادة. في الواقع، احتوى المحتوى المشفر على stager تم تجميعه بلغة Rust، مصمم لفك تشفير وتنفيذ الحمولة الخبيثة النهائية.
طرق الانتشار والتخفي
ينتشر BlankGrabber بشكل رئيسي عبر الهندسة الاجتماعية والتصيد الاحتيالي. يدفع المهاجمون به عبر تنزيلات مزيفة لبرامج “مكسورة”، وأرشيفات ضارة مشتركة على Discord، ومستودعات GitHub احتيالية تبدو وكأنها أدوات حقيقية.
بمجرد تشغيل المستخدم للملف، تبدأ سلسلة الإصابة بهدوء في الخلفية، مروراً بعدة طبقات من التعتيم للبقاء متخفياً عن أدوات الأمان. يتضمن ذلك تعطيل الحماية في الوقت الفعلي لـ Windows Defender وإزالة توقيعات مكافحة الفيروسات عبر PowerShell.
يقوم BlankGrabber أيضاً بتعديل ملف hosts الخاص بنظام ويندوز لقطع الوصول إلى المواقع الأمنية عن طريق إعادة توجيهها إلى 0.0.0.0. ولضمان الاستمرارية، فإنه يضع نسخة من حمولته في مجلد بدء التشغيل، بحيث يتم تشغيله مرة أخرى بعد كل إعادة تشغيل.
بالإضافة إلى ذلك، يتم تعبئة حمولة BlankGrabber باستخدام PyInstaller، مما يحول نص بايثون الأصلي إلى ملف تنفيذي مستقل. داخل الحزمة يوجد ملف مشفر يسمى “blank.aes”، والذي يخزن الحمولة الحقيقية. يتم فك تشفير هذا الملف عند التشغيل باستخدام خوارزمية AES-GCM مخصصة بمفتاح مسبق التشفير ومتجه تهيئة.
الأضرار المحتملة وإجراءات الحماية
يمكن أن تكون الأضرار الناجمة عن إصابة ناجحة بـ BlankGrabber كبيرة. يخاطر الضحايا بفقدان الوصول إلى حسابات المتصفح، والمنصات المالية، والملفات الشخصية. كما يقوم البرمجية بإسقاط XWorm جنباً إلى جنب معها، مما يمنح المهاجمين القدرة على سرقة البيانات والتحكم عن بعد في الجهاز المخترق.
تنصح فرق الأمن بمراقبة استخدام A certutil.exe لفك تشفير بيانات غير شهادات، وتشغيل WinRAR خارج مجلد التثبيت الافتراضي، وأوامر PowerShell التي تعطل Windows Defender، والاستعلامات الشاذة لنظام أسماء النطاقات (DNS) المتجهة إلى واجهة برمجة تطبيقات Telegram أو خدمات مشاركة الملفات المعروفة.
يجب على المؤسسات الحفاظ على تحديث الأنظمة بالكامل، وحظر الوصول إلى مواقع مشاركة الملفات غير المعتمدة، وفرض قوائم سماح صارمة للتطبيقات لتقليل التعرض لهذا النوع من التهديدات.