I ricercatori di Morphisec hanno scoperto una campagna dannosa in cui gli aggressori distribuiscono l’infostealer StealC V2 tramite file infetti per l’editor Blender 3D, caricando il malware su marketplace come CGTrader.

Blender è un popolare progetto open source per la creazione di grafica 3D. Il programma supporta script Python per l’automazione, la creazione di pannelli di interfaccia personalizzati, componenti aggiuntivi, la personalizzazione dei processi di rendering e l’integrazione nelle pipeline di sviluppo.

Se la funzione di esecuzione automatica è abilitata, all’apertura di un file di rig per un personaggio, lo script Python può caricare automaticamente i controlli per l’animazione facciale e i pannelli personalizzati con i pulsanti e i cursori necessari. Nonostante i rischi, gli utenti spesso abilitano questa opzione per comodità.

Gli esperti di sicurezza hanno segnalato di aver rilevato attacchi che utilizzano file .blend dannosi con codice Python incorporato che scarica un malware downloader dal dominio Cloudflare Workers. Il downloader scarica quindi uno script PowerShell che scarica due archivi ZIP dall’infrastruttura degli aggressori: ZalypagyliveraV1 e BLENDERX.

Gli archivi vengono decompressi nella cartella %TEMP% e creano file LNK nella directory di avvio per essere persistenti sul sistema. Successivamente, vengono distribuiti due payload: l’infostealer StealC e un helper stealer Python, che probabilmente viene utilizzato come backup.

Secondo gli esperti, questa campagna ha utilizzato l’ultima modifica della seconda versione dello stealer StealC, analizzato dagli specialisti di Zscaler all’inizio di quest’anno.

L’ultima versione di StealC è dotata di funzionalità avanzate contro il furto di informazioni e supporta l’esfiltrazione di dati da:

• Oltre 23 browser con decrittazione delle credenziali lato server e compatibilità con Chrome 132 e versioni successive;
• Oltre 100 estensioni crittografiche per browser e oltre 15 portafogli crittografici desktop;
• Telegram, Discord, Tox, Pidgin, client VPN (ProtonVPN, OpenVPN) e client di posta elettronica (Thunderbird).

Inoltre, la nuova versione del malware è stata dotata di un meccanismo di bypass UAC aggiornato.

Sebbene questo malware sia stato documentato per la prima volta nel 2023 , le versioni e gli aggiornamenti successivi lo hanno reso praticamente impercettibile ai software antivirus. Morphisec, ad esempio, rileva che nessun prodotto su VirusTotal ha rilevato la variante StealC analizzata.

Dato che i marketplace di modelli 3D non possono verificare il codice nei file caricati dagli utenti, si consiglia agli utenti di Blender di prestare attenzione quando utilizzano risorse da tali piattaforme e di disattivare l’esecuzione automatica del codice. Le risorse 3D devono essere trattate come file eseguibili e devono essere considerate attendibili solo se provengono da editori affidabili. Per tutto il resto, si consiglia di utilizzare ambienti sandbox.

L'articolo Malware StealC V2: Attacchi tramite file infetti per Blender 3D proviene da Red Hot Cyber.