Usuaris de Blender atacats amb fitxers de models 3D maliciosos

Investigadors de seguretat de Morphisec han identificat una sèrie d'atacs contra usuaris del sistema de modelatge 3D Blender, duts a terme mitjançant la distribució d'arxius de blend en directoris populars de models 3D com ara CGTrader. Quan s'obre un model 3D, s'activa codi maliciós incloent-hi scripts de Python que s'executen automàticament als arxius de blend, que estan dissenyats per automatitzar accions i realitzar operacions avançades, com ara el wireframing del model.

L'atac es va dirigir principalment als usuaris que havien activat l'opció d'inici automàtic per a scripts de fitxers blend a la seva configuració. L'inici automàtic està desactivat per defecte, però els usuaris poden confirmar fàcilment l'inici en un quadre de diàleg d'advertència o canviar la configuració predeterminada si els molesta la confirmació manual constant necessària. Els fitxers blend maliciosos poden haver despertat poques sospites perquè contenien models de treball d'ús comú, com ara models 3D de vestits espacials, i l'script de Python que Rig_Ui.py oferia per al llançament incloïa una implementació coneguda d'un sistema de rigging automàtic.


Usuaris de Blender atacats amb fitxers de models 3D maliciosos

En els fitxers blend descoberts pels investigadors, es van fer modificacions al fitxer Rig_Ui.py original i legítim per descarregar i executar el programari maliciós StealC V2. Per ocultar-ne els rastres, el programari maliciós es va descarregar mitjançant el lloc intermedi blenderxnew.tohocaper1979.workers.dev, que opera a través de la plataforma Cloudflare Workers. Les dades sensibles detectades al sistema es van enviar xifrades. El programari maliciós es limita a atacar usuaris. Windows.

Un cop activat, StealC V2 mantenia la sessió iniciada i interceptava, cercava i enviava dades sensibles, com ara tokens d'accés, claus de xifratge i contrasenyes. Admetia l'extracció de dades sensibles de 15 moneders criptogràfics, més de 100 extensions de navegador per treballar amb criptomonedes i sistemes de pagament, 23 navegadors (Chromium, Firefox, Opera, Brave, etc.) i diversos missatgers instantanis (Telegram, Discord, Tox, Pidgin). VPN (ProtonVPN, OpenVPN) i clients de correu (Thunderbird).


Usuaris de Blender atacats amb fitxers de models 3D maliciosos


Font: opennet.ru
Compreu allotjament fiable per a llocs amb protecció DDoS, servidors VPS VDS 🔥 Compra allotjament web fiable amb protecció DDoS, servidors VPS VDS | ProHoster