Bezpečnostní výzkumníci ze společnosti Morphisec identifikovali sérii útoků proti uživatelům 3D modelovacího systému Blender, které byly prováděny prostřednictvím distribuce souborů Blender v populárních adresářích 3D modelů, jako je CGTrader. Škodlivý kód se aktivuje při otevření 3D modelu zahrnutím automaticky spouštěných skriptů Pythonu do souborů Blender, které jsou navrženy k automatizaci akcí a provádění pokročilých operací, jako je wireframing modelu.
Útok cílil primárně na uživatele, kteří si ve svém nastavení povolili možnost automatického spouštění skriptů ze souborů Blend. Automatické spuštění je ve výchozím nastavení zakázáno, ale uživatelé mohou spuštění snadno potvrdit v dialogovém okně s upozorněním nebo změnit výchozí nastavení, pokud je obtěžuje neustálé ruční potvrzování. Škodlivé soubory Blend mohly vzbudit jen malé podezření, protože obsahovaly běžně používané funkční modely, jako například 3D modely skafandrů, a skript v jazyce Python Rig_Ui.py nabízený ke spuštění obsahoval známou implementaci systému automatického rigging.

V souborech Blend, které výzkumníci objevili, byly provedeny úpravy původního legitimního souboru Rig_Ui.py, které stahovaly a spouštěly malware StealC V2. Aby se zakryly jeho stopy, byl malware stažen pomocí zprostředkujícího webu blenderxnew.tohocaper1979.workers.dev, který funguje prostřednictvím platformy Cloudflare Workers. Citlivá data zjištěná v systému byla odeslána šifrovaně. Malware je omezen na útočící uživatele. Windows.
Po aktivaci zůstal StealC V2 přihlášen a zachycoval, prohledával a odesílal citlivá data, jako jsou přístupové tokeny, šifrovací klíče a hesla. Podporoval extrakci citlivých dat z 15 krypto peněženek, více než 100 rozšíření prohlížeče pro práci s kryptoměnami a platebními systémy, 23 prohlížečů (Chromium, Firefox, Opera, Brave atd.) a různých instant messengerů (Telegram, Discord, Tox, Pidgin). VPN (ProtonVPN, OpenVPN) a poštovní klienti (Thunderbird).

Zdroj: opennet.ru
