Investigadors de seguretat de Morphisec han identificat una sèrie d'atacs contra usuaris del sistema de modelatge 3D Blender, duts a terme mitjançant la distribució d'arxius de blend en directoris populars de models 3D com ara CGTrader. Quan s'obre un model 3D, s'activa codi maliciós incloent-hi scripts de Python que s'executen automàticament als arxius de blend, que estan dissenyats per automatitzar accions i realitzar operacions avançades, com ara el wireframing del model.
L'atac es va dirigir principalment als usuaris que havien activat l'opció d'inici automàtic per a scripts de fitxers blend a la seva configuració. L'inici automàtic està desactivat per defecte, però els usuaris poden confirmar fàcilment l'inici en un quadre de diàleg d'advertència o canviar la configuració predeterminada si els molesta la confirmació manual constant necessària. Els fitxers blend maliciosos poden haver despertat poques sospites perquè contenien models de treball d'ús comú, com ara models 3D de vestits espacials, i l'script de Python que Rig_Ui.py oferia per al llançament incloïa una implementació coneguda d'un sistema de rigging automàtic.

En els fitxers blend descoberts pels investigadors, es van fer modificacions al fitxer Rig_Ui.py original i legítim per descarregar i executar el programari maliciós StealC V2. Per ocultar-ne els rastres, el programari maliciós es va descarregar mitjançant el lloc intermedi blenderxnew.tohocaper1979.workers.dev, que opera a través de la plataforma Cloudflare Workers. Les dades sensibles detectades al sistema es van enviar xifrades. El programari maliciós es limita a atacar usuaris. Windows.
Un cop activat, StealC V2 mantenia la sessió iniciada i interceptava, cercava i enviava dades sensibles, com ara tokens d'accés, claus de xifratge i contrasenyes. Admetia l'extracció de dades sensibles de 15 moneders criptogràfics, més de 100 extensions de navegador per treballar amb criptomonedes i sistemes de pagament, 23 navegadors (Chromium, Firefox, Opera, Brave, etc.) i diversos missatgers instantanis (Telegram, Discord, Tox, Pidgin). VPN (ProtonVPN, OpenVPN) i clients de correu (Thunderbird).

Font: opennet.ru
