Основы Интернет - технологий.

Исследователи Morphisec обнаружили вредоносную кампанию, в рамках которой злоумышленники распространяют инфостилер StealC V2 через зараженные файлы для 3D-редактора Blender, загружая малварь на маркетплейсы вроде CGTrader. Blender — популярный опенсорсный проект для создания 3D-графики. Программа поддерживает выполнение Python-скриптов для автоматизации, создания пользовательских панелей интерфейса, аддонов, настройки процессов рендеринга и интеграции в конвейеры разработки. Если включена функция Auto Run, при открытии файла с риггом персонажа Python-скрипт может автоматически загрузить элементы управления лицевой анимацией и кастомные панели с нужными кнопками и слайдерами. Невзирая на риски, пользователи часто включают эту опцию ради удобства. Специалисты предупредили, что обнаружили атаки с использованием вредоносных .blend-файлов со встроенным Python-кодом, который подгружает загрузчик малвари с домена Cloudflare Workers. Затем загрузчик скачивает PowerShell-скрипт, который загружает из инфраструктуры атакующих два ZIP-архива — ZalypaGyliveraV1 и BLENDERX. Архивы распаковываются в папку %TEMP% и создают LNK-файлы в директории автозагрузки для закрепления в системе. После этого разворачиваются две полезных нагрузки: инфостилер StealC и вспомогательный Python-стилер, который, вероятно, используется как резервное решение. По словам специалистов, в этой кампании использовалась последняя модификация второй версии стилера StealC, которую ранее в этом году проанализировали специалисты Zscaler. Новейший StealC обладает расширенными возможностями для кражи информации и поддерживает эксфильтрацию данных из: 23 браузеров с расшифровкой учетных данных на стороне сервера и совместимостью с Chrome 132 и выше; 100 браузерных крипторасширений и 15 десктопных криптовалютных кошельков; Telegram, Discord, Tox, Pidgin, VPN-клиентов (ProtonVPN, OpenVPN) и почтовых клиентов (Thunderbird). Кроме того, новая версия малвари получила обновленный механизм обхода UAC. Хотя впервые этот вредонос был задокументирован еще в 2023 году, последующие релизы и обновления сделали его практически неуловимым для антивирусов. Так, в Morphisec отмечают, что ни один продукт на VirusTotal не обнаружил проанализированный ими вариант StealC. Учитывая, что маркетплейсы 3D-моделей не могут проверять код в загружаемых пользователями файлах, пользователям Blender рекомендуется проявлять осторожность при использовании ассетов с подобных платформ и отключать автовыполнение кода. Дело в том, что 3D-ассеты стоит воспринимать как исполняемые файлы и доверять следует только проверенным издателям с хорошей репутацией. Для всего остального рекомендуется использовать изолированные среды.