Malware StealC V2: Attacchi tramite file infetti per Blender 3D

I ricercatori di Morphisec hanno scoperto una campagna dannosa in cui gli aggressori distribuiscono l’infostealer StealC V2 tramite file infetti per l’editor Blender 3D, caricando il malware su marketplace come CGTrader.

Blender è un popolare progetto open source per la creazione di grafica 3D. Il programma supporta script Python per l’automazione, la creazione di pannelli di interfaccia personalizzati, componenti aggiuntivi, la personalizzazione dei processi di rendering e l’integrazione nelle pipeline di sviluppo.

Se la funzione di esecuzione automatica è abilitata, all’apertura di un file di rig per un personaggio, lo script Python può caricare automaticamente i controlli per l’animazione facciale e i pannelli personalizzati con i pulsanti e i cursori necessari. Nonostante i rischi, gli utenti spesso abilitano questa opzione per comodità.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli esperti di sicurezza hanno segnalato di aver rilevato attacchi che utilizzano file .blend dannosi con codice Python incorporato che scarica un malware downloader dal dominio Cloudflare Workers. Il downloader scarica quindi uno script PowerShell che scarica due archivi ZIP dall’infrastruttura degli aggressori: ZalypagyliveraV1 e BLENDERX.

Gli archivi vengono decompressi nella cartella %TEMP% e creano file LNK nella directory di avvio per essere persistenti sul sistema. Successivamente, vengono distribuiti due payload: l’infostealer StealC e un helper stealer Python, che probabilmente viene utilizzato come backup.

Secondo gli esperti, questa campagna ha utilizzato l’ultima modifica della seconda versione dello stealer StealC, analizzato dagli specialisti di Zscaler all’inizio di quest’anno.

L’ultima versione di StealC è dotata di funzionalità avanzate contro il furto di informazioni e supporta l’esfiltrazione di dati da:

• Oltre 23 browser con decrittazione delle credenziali lato server e compatibilità con Chrome 132 e versioni successive;
• Oltre 100 estensioni crittografiche per browser e oltre 15 portafogli crittografici desktop;
• Telegram, Discord, Tox, Pidgin, client VPN (ProtonVPN, OpenVPN) e client di posta elettronica (Thunderbird).

Inoltre, la nuova versione del malware è stata dotata di un meccanismo di bypass UAC aggiornato.

Sebbene questo malware sia stato documentato per la prima volta nel 2023 , le versioni e gli aggiornamenti successivi lo hanno reso praticamente impercettibile ai software antivirus. Morphisec, ad esempio, rileva che nessun prodotto su VirusTotal ha rilevato la variante StealC analizzata.

Dato che i marketplace di modelli 3D non possono verificare il codice nei file caricati dagli utenti, si consiglia agli utenti di Blender di prestare attenzione quando utilizzano risorse da tali piattaforme e di disattivare l’esecuzione automatica del codice. Le risorse 3D devono essere trattate come file eseguibili e devono essere considerate attendibili solo se provengono da editori affidabili. Per tutto il resto, si consiglia di utilizzare ambienti sandbox.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.