Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Cerca
Banner Desktop
Banner Ransomfeed 320x100 1
Malware StealC V2: Attacchi tramite file infetti per Blender 3D

Malware StealC V2: Attacchi tramite file infetti per Blender 3D

Redazione RHC : 28 Novembre 2025 10:06

I ricercatori di Morphisec hanno scoperto una campagna dannosa in cui gli aggressori distribuiscono l’infostealer StealC V2 tramite file infetti per l’editor Blender 3D, caricando il malware su marketplace come CGTrader.

Blender è un popolare progetto open source per la creazione di grafica 3D. Il programma supporta script Python per l’automazione, la creazione di pannelli di interfaccia personalizzati, componenti aggiuntivi, la personalizzazione dei processi di rendering e l’integrazione nelle pipeline di sviluppo.

Se la funzione di esecuzione automatica è abilitata, all’apertura di un file di rig per un personaggio, lo script Python può caricare automaticamente i controlli per l’animazione facciale e i pannelli personalizzati con i pulsanti e i cursori necessari. Nonostante i rischi, gli utenti spesso abilitano questa opzione per comodità.


Nuovo Fumetto Betti

CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? 
Conosci il nostro corso sul cybersecurity awareness a fumetti? 
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. 
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli esperti di sicurezza hanno segnalato di aver rilevato attacchi che utilizzano file .blend dannosi con codice Python incorporato che scarica un malware downloader dal dominio Cloudflare Workers. Il downloader scarica quindi uno script PowerShell che scarica due archivi ZIP dall’infrastruttura degli aggressori: ZalypagyliveraV1 e BLENDERX.

Gli archivi vengono decompressi nella cartella %TEMP% e creano file LNK nella directory di avvio per essere persistenti sul sistema. Successivamente, vengono distribuiti due payload: l’infostealer StealC e un helper stealer Python, che probabilmente viene utilizzato come backup.

Secondo gli esperti, questa campagna ha utilizzato l’ultima modifica della seconda versione dello stealer StealC, analizzato dagli specialisti di Zscaler all’inizio di quest’anno.

L’ultima versione di StealC è dotata di funzionalità avanzate contro il furto di informazioni e supporta l’esfiltrazione di dati da:

  • Oltre 23 browser con decrittazione delle credenziali lato server e compatibilità con Chrome 132 e versioni successive;
  • Oltre 100 estensioni crittografiche per browser e oltre 15 portafogli crittografici desktop;
  • Telegram, Discord, Tox, Pidgin, client VPN (ProtonVPN, OpenVPN) e client di posta elettronica (Thunderbird).

Inoltre, la nuova versione del malware è stata dotata di un meccanismo di bypass UAC aggiornato.

Sebbene questo malware sia stato documentato per la prima volta nel 2023 , le versioni e gli aggiornamenti successivi lo hanno reso praticamente impercettibile ai software antivirus. Morphisec, ad esempio, rileva che nessun prodotto su VirusTotal ha rilevato la variante StealC analizzata.

Dato che i marketplace di modelli 3D non possono verificare il codice nei file caricati dagli utenti, si consiglia agli utenti di Blender di prestare attenzione quando utilizzano risorse da tali piattaforme e di disattivare l’esecuzione automatica del codice. Le risorse 3D devono essere trattate come file eseguibili e devono essere considerate attendibili solo se provengono da editori affidabili. Per tutto il resto, si consiglia di utilizzare ambienti sandbox.

  • #sicurezza informatica
  • attacchi informatici
  • Blender 3D
  • CGTrader
  • file infetti
  • infostealer
  • Malware
  • marketplace
  • StealC V2
Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Dio è in Cloud: ti hanno hackerato il cervello e ti è piaciuto
Di Fabrizio Saviano - 28/11/2025

Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...

Immagine del sito
La Truffa del CEO! l’inganno che sta travolgendo le aziende italiane
Di Redazione RHC - 27/11/2025

Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...

Immagine del sito
Italia: allarme intelligenza artificiale, cliniche e referti falsi circolano online
Di Redazione RHC - 27/11/2025

i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...

Immagine del sito
ENISA assume il ruolo di Root nel programma CVE per la sicurezza informatica europea
Di Redazione RHC - 27/11/2025

L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...

Immagine del sito
Tor Browser e Tails OS pronti per il nuovo standard CGO
Di Redazione RHC - 27/11/2025

Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...