Une campagne liée à la Russie diffuse le malware Stealc V2, un voleur d’informations, via des fichiers Blender malveillants téléchargés sur des places de marché de modèles 3D comme CGTrader.
Blender est une puissante suite de création 3D open source qui peut exécuter des scripts Python pour l’automatisation, des panneaux d’interface utilisateur personnalisés, des modules complémentaires, des processus de rendu, des outils de rigging et l’intégration de pipelines.
Si la fonctionnalité d’exécution automatique est activée, lorsqu’un utilisateur ouvre une plate-forme de personnages, un script Python peut charger automatiquement les commandes faciales et les panneaux d’interface utilisateur personnalisés avec les boutons et curseurs requis.
Malgré le potentiel d’abus, les utilisateurs activent souvent l’option d’exécution automatique pour plus de commodité.
Des chercheurs de la société de cybersécurité Morphisec ont observé des attaques malveillantes.mélangez des fichiers avec du code Python intégré qui récupère un chargeur de logiciels malveillants à partir d’un domaine Cloudflare Workers.
Le chargeur récupère ensuite un script PowerShell qui récupère deux archives ZIP, ZalypaGyliveraV1 et BLENDERX, à partir d’adresses IP contrôlées par l’attaquant.
Les archives sont décompressées dans le dossier % TEMP% et déposent les fichiers LNK dans le répertoire de démarrage pour la persistance. Ensuite, ils déploient deux charges utiles, l’infostealer StealC et un voleur Python auxiliaire, probablement utilisé pour la redondance.
Les chercheurs de Morphisec rapportent que le malware StealC utilisé dans cette campagne était la dernière variante de la deuxième version majeure du malware qui a été analysée par les chercheurs de Zscaler plus tôt cette année.
Le dernier StealC a étendu ses capacités de vol de données et prend en charge l’exfiltration de:
- plus de 23 navigateurs, avec déchiffrement des informations d’identification côté serveur et compatibilité avec Chrome 132+
- Plus de 100 extensions de navigateur de portefeuille de crypto-monnaie et plus de 15 applications de portefeuille de crypto-monnaie
- Telegram, Discord, Tox, Pidgin, clients VPN (ProtonVPN, OpenVPN) et clients de messagerie (Thunderbird)
- Mécanisme de contournement UAC mis à jour
Bien que les logiciels malveillants soient documentés depuis 2023, les versions ultérieures semblent rester insaisissables pour les produits antivirus. Morphisec commente qu’aucun moteur de sécurité sur VirusTotal n’a détecté la variante StealC qu’ils ont analysée.
Étant donné que les places de marché de modèles 3D ne peuvent pas examiner le code dans les fichiers soumis par les utilisateurs, il est conseillé aux utilisateurs de Blender de faire preuve de prudence lorsqu’ils utilisent des fichiers provenant de ces plates-formes et devraient envisager de désactiver l’exécution automatique du code.
Vous pouvez le faire depuis Blender > Edition > Préférences > décochez l’option « Exécution automatique des scripts Python ».
Les ressources 3D doivent être traitées comme des fichiers exécutables et les utilisateurs ne doivent faire confiance qu’aux éditeurs ayant fait leurs preuves. Pour tout le reste, il est recommandé d’utiliser des environnements en bac à sable pour les tests.