O mundo da modelagem 3D não está imune às ameaças digitais, e uma nova campanha associada à Rússia está a explorar a popularidade de ferramentas criativas para distribuir software malicioso. Investigadores de segurança descobriram que ficheiros aparentemente inofensivos do Blender, carregados em plataformas conhecidas como o CGTrader, estão a ser utilizados como "cavalos de Troia" para instalar o infostealer StealC V2 nos computadores das vítimas.
O Blender é uma poderosa suite de criação 3D de código aberto que permite a execução de scripts em Python. Esta funcionalidade é essencial para a automatização de tarefas, criação de interfaces personalizadas e integração de ferramentas de rigging. No entanto, é precisamente esta flexibilidade que está a ser explorada pelos atacantes.
O perigo escondido nos scripts automáticos
Quando a funcionalidade de "Execução Automática" (Auto Run) está ativa no software, basta que o utilizador abra um projeto infetado para que o código malicioso seja executado. Muitas vezes, os criadores mantêm esta opção ligada por conveniência, para que os controlos faciais e painéis personalizados das personagens carreguem automaticamente.
Segundo os investigadores da Morphisec, o ataque começa com um ficheiro .blend que contém código Python escondido. Este código contacta um domínio alojado na Cloudflare para descarregar um carregador de malware. De seguida, é executado um script PowerShell que recupera arquivos ZIP de endereços IP controlados pelos atacantes, instalando ficheiros na pasta de arranque do Windows para garantir a persistência da infeção.
StealC V2: um ladrão de dados invisível
O objetivo final desta cadeia de ataque é a instalação do StealC, um malware sofisticado desenhado para roubar informações sensíveis. A variante utilizada nesta campanha é a mais recente da segunda versão principal deste software malicioso, que tem vindo a expandir as suas capacidades de exfiltração de dados.
O StealC V2 é capaz de extrair dados de mais de 23 navegadores, incluindo versões recentes do Chrome, além de visar mais de 100 extensões de navegador e 15 aplicações dedicadas a criptomoedas. A lista de alvos inclui ainda aplicações de mensagens como o Telegram e Discord, clientes de VPN como o ProtonVPN e clientes de email como o Thunderbird.
O mais alarmante é que, segundo os investigadores, esta variante específica não foi detetada por nenhum dos motores de segurança no VirusTotal no momento da análise, o que demonstra a eficácia dos atacantes em evadir a deteção.
Para se proteger, recomenda-se que os utilizadores do Blender desativem a opção "Auto Run Python Scripts" no menu de preferências (Edit > Preferences) e tratem quaisquer ficheiros 3D descarregados da internet com o mesmo nível de cautela que teriam com um ficheiro executável, conforme alerta a BleepingComputer.
Nenhum comentário
Seja o primeiro!