Uma campanha vinculada à Rússia está distribuindo o malware StealC V2, um info-stealer, por meio de arquivos maliciosos do Blender enviados a marketplaces de modelos 3D, como o CGTrader.
Blender é uma poderosa suíte open-source de criação 3D que permite a execução de scripts em Python para automação, painéis de interface personalizados, add-ons, processos de renderização, rigging e integração de pipelines.
Quando a opção Auto Run está ativada, ao abrir um rig de personagem, um script Python pode carregar automaticamente controles faciais e painéis de interface com botões e sliders personalizados.
Embora essa funcionalidade seja útil, muitos usuários a ativam sem perceber o potencial de abuso.
Pesquisadores da empresa de cibersegurança Morphisec identificaram ataques que utilizam arquivos .blend maliciosos contendo código Python embutido, que baixa um loader de malware hospedado em um domínio do Cloudflare Workers.
Esse loader, por sua vez, executa um script PowerShell que faz o download de dois arquivos ZIP — denominados ZalypaGyliveraV1 e BLENDERX — hospedados em IPs controlados pelos atacantes.
Os arquivos são descompactados na pasta %TEMP% e criam atalhos (.LNK) no diretório de inicialização do sistema para garantir persistência.
Em seguida, são ativadas duas payloads: o info-stealer StealC e um stealer auxiliar em Python, provavelmente usado como redundância.
De acordo com a Morphisec, o StealC empregado nessa campanha é a variante mais recente da segunda versão principal do malware, que já havia sido analisada por pesquisadores da Zscaler no início deste ano.
Essa versão aumentou suas capacidades de roubo de dados, incluindo a exfiltração de:
- Mais de 23 navegadores, com descriptografia de credenciais no lado do servidor e suporte ao Chrome 132 ou superior;
- Mais de 100 extensões de carteiras de criptomoedas para navegadores e mais de 15 aplicativos de carteiras digitais;
- Aplicativos como Telegram, Discord, Tox, Pidgin, clientes VPN (ProtonVPN, OpenVPN) e clientes de e-mail (Thunderbird);
- Um mecanismo atualizado para bypass do UAC (User Account Control).
Apesar de o malware ser conhecido desde 2023, suas versões mais recentes ainda passam despercebidas pela maioria dos antivírus.
A Morphisec destaca que nenhuma solução de segurança no VirusTotal conseguiu detectar a variante de StealC analisada por eles.
Como os marketplaces de modelos 3D não realizam análise rigorosa do código presente em arquivos enviados por usuários, recomenda-se que os usuários do Blender tenham cautela ao baixar arquivos nessas plataformas.
Uma medida simples e eficaz é desabilitar a execução automática de scripts Python.
Para isso, vá em Blender > Edit > Preferences e desmarque a opção “Auto Run Python Scripts”.
Ativos 3D devem ser tratados como arquivos executáveis.
Portanto, só devem ser utilizados quando provenientes de fontes confiáveis e com histórico comprovado.
Caso contrário, recomenda-se testar esses arquivos em ambientes sandbox para evitar riscos ao sistema principal.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...