Malware StealC V2: Attacchi tramite file infetti per Blender 3D

I ricercatori di Morphisec hanno scoperto una campagna dannosa in cui gli aggressori distribuiscono l’infostealer StealC V2 tramite file infetti per l’editor Blender 3D, caricando il malware su marketplace come CGTrader.

Blender è un popolare progetto open source per la creazione di grafica 3D. Il programma supporta script Python per l’automazione, la creazione di pannelli di interfaccia personalizzati, componenti aggiuntivi, la personalizzazione dei processi di rendering e l’integrazione nelle pipeline di sviluppo.

Se la funzione di esecuzione automatica è abilitata, all’apertura di un file di rig per un personaggio, lo script Python può caricare automaticamente i controlli per l’animazione facciale e i pannelli personalizzati con i pulsanti e i cursori necessari. Nonostante i rischi, gli utenti spesso abilitano questa opzione per comodità.

Gli esperti di sicurezza hanno segnalato di aver rilevato attacchi che utilizzano file .blend dannosi con codice Python incorporato che scarica un malware downloader dal dominio Cloudflare Workers. Il downloader scarica quindi uno script PowerShell che scarica due archivi ZIP dall’infrastruttura degli aggressori: ZalypagyliveraV1 e BLENDERX.

Gli archivi vengono decompressi nella cartella %TEMP% e creano file LNK nella directory di avvio per essere persistenti sul sistema. Successivamente, vengono distribuiti due payload: l’infostealer StealC e un helper stealer Python, che probabilmente viene utilizzato come backup.

Secondo gli esperti, questa campagna ha utilizzato l’ultima modifica della seconda versione dello stealer StealC, analizzato dagli specialisti di Zscaler all’inizio di quest’anno.

L’ultima versione di StealC è dotata di funzionalità avanzate contro il furto di informazioni e supporta l’esfiltrazione di dati da:

• Oltre 23 browser con decrittazione delle credenziali lato server e compatibilità con Chrome 132 e versioni successive;
• Oltre 100 estensioni crittografiche per browser e oltre 15 portafogli crittografici desktop;
• Telegram, Discord, Tox, Pidgin, client VPN (ProtonVPN, OpenVPN) e client di posta elettronica (Thunderbird).

Inoltre, la nuova versione del malware è stata dotata di un meccanismo di bypass UAC aggiornato.

Sebbene questo malware sia stato documentato per la prima volta nel 2023 , le versioni e gli aggiornamenti successivi lo hanno reso praticamente impercettibile ai software antivirus. Morphisec, ad esempio, rileva che nessun prodotto su VirusTotal ha rilevato la variante StealC analizzata.

Dato che i marketplace di modelli 3D non possono verificare il codice nei file caricati dagli utenti, si consiglia agli utenti di Blender di prestare attenzione quando utilizzano risorse da tali piattaforme e di disattivare l’esecuzione automatica del codice. Le risorse 3D devono essere trattate come file eseguibili e devono essere considerate attendibili solo se provengono da editori affidabili. Per tutto il resto, si consiglia di utilizzare ambienti sandbox.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore