Investigadores de ciberseguridad han revelado detalles de una nueva campaña que aprovecha los archivos de Blender Foundation para distribuir una herramienta de robo de información conocida como StealC V2.
«Esta operación en curso, que ha estado activa durante al menos seis meses, implica incrustar archivos .blend maliciosos en plataformas como CGTrader», dijo el investigador de Morphisec Shmuel Uzan en un informe compartido con The Hacker News.
«Los usuarios, sin saberlo, descargan estos archivos de modelos 3D, que están diseñados para ejecutar scripts de Python integrados cuando se abren en Blender, una suite de creación 3D gratuita y de código abierto».
La firma de ciberseguridad dijo que esta actividad tiene similitudes con campañas anteriores que involucraron a atacantes de habla rusa que se hicieron pasar por la Electronic Frontier Foundation (EFF) para apuntar a comunidades de juegos en línea e infectarlas con StealC y Pyramid C2.
Esta evaluación se basa en similitudes tácticas entre ambas campañas, incluido el uso de documentos señuelo, técnicas de evasión y ejecución de malware en segundo plano.
El último conjunto de ataques aprovecha la capacidad de incrustar scripts de Python en archivos .blend, como plataformas de caracteres, que se ejecutan automáticamente cuando se abre el archivo en escenarios donde la opción de ejecución automática está habilitada. Este comportamiento es potencialmente peligroso ya que abre la puerta a la ejecución de scripts Python arbitrarios.
Blender reconoce este riesgo de seguridad en su propia documentación, afirmando: «La capacidad de incluir scripts de Python dentro de archivos blend es valiosa para tareas avanzadas como rigging y automatización. Sin embargo, Python no limita lo que los scripts pueden hacer, lo que plantea un riesgo de seguridad».
Esta cadena de ataque básicamente implica cargar un archivo .blend malicioso que contiene el script malicioso «Rig_Ui.py» en un sitio de activos 3D gratuito como CGTrader. Este script se ejecuta tan pronto como se abre con la función de ejecución automática de Blender habilitada. Esto recuperará un script de PowerShell y descargará dos archivos ZIP.
Uno de los archivos ZIP contiene la carga útil StealC V2, mientras que el segundo archivo implementa un ladrón secundario basado en Python en el host comprometido. Anunciada por primera vez a finales de abril de 2025, la versión actualizada de StealC admite una amplia gama de funciones de recopilación de información y puede extraer datos de 23 navegadores, 100 complementos y extensiones web, 15 aplicaciones de billetera criptográfica, servicios de mensajería, VPN y clientes de correo electrónico.
«Mantenga la ejecución automática desactivada a menos que confíe en la fuente del archivo», dijo Morphisec. «Los atacantes suelen aprovechar Blender, que se ejecuta en máquinas físicas con GPU, para evitar entornos sandbox y virtuales».
Source link
