Исследователи Morphisec обнаружили вредоносную кампанию, в рамках которой злоумышленники распространяют инфостилер StealC V2 через зараженные файлы для 3D-редактора Blender, загружая малварь на маркетплейсы вроде CGTrader.
Blender — популярный опенсорсный проект для создания 3D-графики. Программа поддерживает выполнение Python-скриптов для автоматизации, создания пользовательских панелей интерфейса, аддонов, настройки процессов рендеринга и интеграции в конвейеры разработки.
Если включена функция Auto Run, при открытии файла с риггом персонажа Python-скрипт может автоматически загрузить элементы управления лицевой анимацией и кастомные панели с нужными кнопками и слайдерами. Невзирая на риски, пользователи часто включают эту опцию ради удобства.
Специалисты предупредили, что обнаружили атаки с использованием вредоносных .blend-файлов со встроенным Python-кодом, который подгружает загрузчик малвари с домена Cloudflare Workers. Затем загрузчик скачивает PowerShell-скрипт, который загружает из инфраструктуры атакующих два ZIP-архива — ZalypaGyliveraV1 и BLENDERX.
Архивы распаковываются в папку %TEMP% и создают LNK-файлы в директории автозагрузки для закрепления в системе. После этого разворачиваются две полезных нагрузки: инфостилер StealC и вспомогательный Python-стилер, который, вероятно, используется как резервное решение.
По словам специалистов, в этой кампании использовалась последняя модификация второй версии стилера StealC, которую ранее в этом году проанализировали специалисты Zscaler.
Новейший StealC обладает расширенными возможностями для кражи информации и поддерживает эксфильтрацию данных из:
- 23+ браузеров с расшифровкой учетных данных на стороне сервера и совместимостью с Chrome 132 и выше;
- 100+ браузерных крипторасширений и 15+ десктопных криптовалютных кошельков;
- Telegram, Discord, Tox, Pidgin, VPN-клиентов (ProtonVPN, OpenVPN) и почтовых клиентов (Thunderbird).
Кроме того, новая версия малвари получила обновленный механизм обхода UAC.
Хотя впервые этот вредонос был задокументирован еще в 2023 году, последующие релизы и обновления сделали его практически неуловимым для антивирусов. Так, в Morphisec отмечают, что ни один продукт на VirusTotal не обнаружил проанализированный ими вариант StealC.
Учитывая, что маркетплейсы 3D-моделей не могут проверять код в загружаемых пользователями файлах, пользователям Blender рекомендуется проявлять осторожность при использовании ассетов с подобных платформ и отключать автовыполнение кода. Дело в том, что 3D-ассеты стоит воспринимать как исполняемые файлы и доверять следует только проверенным издателям с хорошей репутацией. Для всего остального рекомендуется использовать изолированные среды.
