- Злоумышленники распространяют вредоносные blend-файлы с автоматическим запуском Python-скриптов через популярные каталоги 3D-моделей, включая CGTrader.
- Вредоносный скрипт rig_ui.py загружает и активирует StealC V2 — программу для кражи конфиденциальных данных пользователей Blender на Windows.
- StealC V2 извлекает пароли, ключи, токены доступа, данные криптокошельков, браузеров, мессенджеров, VPN и почтовых клиентов, отправляя информацию злоумышленникам в зашифрованном виде.
Специалисты по информационной безопасности из компании Morphisec обнаружили серию масштабных атак на пользователей популярной программы 3D-моделирования Blender. Злоумышленники распространяют вредоносные файлы формата blend, которые содержат автоматически запускаемые Python-скрипты. Такие файлы распространяются через известные площадки для обмена 3D-моделями, включая каталог CGTrader.
Атака нацелена на тех пользователей Blender, у кого активирована опция автоматического запуска скриптов из blend-файлов. Настройки по умолчанию требуют подтверждения запуска, но пользователи могут один раз разрешить данный процесс, после чего вредоносный код запускается незаметно.
Вредоносные blend-файлы замаскированы под обычные рабочие ресурсы, например, модели скафандров, за которыми скрывается скрипт rig_ui.py. Этот скрипт загружает и запускает вредоносную программу StealC V2, предназначенную для кражи данных. Для маскировки используется промежуточный сервер blenderxnew.tohocaper1979.workers.dev, работающий на платформе Cloudflare Workers.
После активации StealC V2 постоянно присутствует в системе, собирая конфиденциальную информацию. Программа перехватывает токены доступа, пароли, ключи шифрования, а также извлекает данные из широкого спектра приложений: 15 видов криптовалютных кошельков, более 100 расширений браузеров, 23 браузеров, включая Chromium, Firefox, Opera и Brave, мессенджеров Telegram, Discord, Tox, Pidgin, VPN-сервисов ProtonVPN, OpenVPN, а также почтовых клиентов, например Thunderbird.
Эксперты особо отмечают, что атака актуальна для пользователей операционной системы Windows. Это подчеркивает необходимость осторожного отношения к настройкам безопасности Blender и внимательного выбора источников 3D-моделей для загрузки. Рекомендуется не разрешать автоматический запуск скриптов без веских на то оснований и применять комплексные средства защиты.
