Morphisec의 보안 연구원들은 Blender 3D 모델링 시스템 사용자를 대상으로 CGTrader와 같은 인기 3D 모델 디렉터리에 Blend 파일을 배포하여 수행된 일련의 공격을 확인했습니다. 3D 모델을 열면 Blend 파일에 자동으로 실행되는 Python 스크립트가 포함되어 악성 코드가 활성화됩니다. 이 스크립트는 작업을 자동화하고 모델 와이어프레이밍과 같은 고급 작업을 수행하도록 설계되었습니다.
이 공격은 주로 설정에서 블렌드 파일의 스크립트 자동 실행 옵션을 활성화한 사용자를 대상으로 했습니다. 자동 실행은 기본적으로 비활성화되어 있지만, 사용자는 경고 대화 상자에서 실행을 쉽게 확인하거나, 지속적인 수동 확인이 귀찮을 경우 기본 설정을 변경할 수 있습니다. 악성 블렌드 파일은 우주복 3D 모델과 같이 일반적으로 사용되는 작동 모델을 포함하고 있었고, 실행을 위해 제공된 Python 스크립트 Rig_Ui.py에 자동 리깅 시스템의 알려진 구현이 포함되어 있었기 때문에 의심을 크게 받지 않았을 수 있습니다.

연구원들이 발견한 블렌드 파일에서, 원래의 정상적인 Rig_Ui.py 파일이 StealC V2 악성코드를 다운로드하고 실행하도록 변조된 것이 확인되었습니다. 악성코드는 흔적을 숨기기 위해 Cloudflare Workers 플랫폼을 통해 운영되는 중간 사이트인 blenderxnew.tohocaper1979.workers.dev를 거쳐 다운로드되었습니다. 시스템에서 감지된 민감한 데이터는 암호화되어 전송되었습니다. 이 악성코드는 사용자 공격에만 국한됩니다. Windows.
StealC V2는 활성화되면 로그인 상태를 유지하며 액세스 토큰, 암호화 키, 비밀번호와 같은 민감한 데이터를 가로채고 검색하여 전송합니다. 15개의 암호화폐 지갑, 100개 이상의 암호화폐 및 결제 시스템 관련 브라우저 확장 프로그램, 23개의 브라우저(Chromium, Firefox, Opera, Brave 등), 그리고 다양한 인스턴트 메신저(Telegram, Discord, Tox, Pidgin)에서 민감한 데이터를 추출하는 기능을 지원했습니다. VPN (프로톤VPN, OpenVPN) 및 메일 클라이언트(썬더버드).

출처 : opennet.ru
