Hidden Danger in 3D: Malicious Blender Files Unleash StealC V2 Infostealer
Malware
Hidden Danger in 3D: Malicious Blender Files Unleash StealC V2 Infostealer
Morphisec已就一项针对3D艺术家、游戏开发者和爱好者的复杂恶意软件活动发出高危警报。至少六个月以来,威胁行为者一直在CGTrader等平台上将3D模型文件武器化,以传播臭名昭著的StealC V2信息窃取程序。用户以为自己下载的是合法资源(例如“Spacesuit NASA Apollo 11”模型),却不知不觉地让自己的系统感染了旨在掏空其数字生活的恶意软件。
这种攻击载体利用了流行的开源3D创作套件Blender中的一个强大功能:其嵌入和执行Python脚本的能力。合法文件使用诸如Rig_Ui.py之类的脚本来为复杂角色骨骼生成用户界面。然而,攻击者将恶意代码嵌入这些脚本中。如果用户在Blender偏好设置中启用了“自动运行Python脚本”,则在文件打开的那一刻,恶意软件就会在后台静默执行。
“用户毫不知情地下载这些3D模型文件,这些文件设计为在Blender中打开时执行嵌入的Python脚本。”由于Blender通常在配备GPU的强大物理机上运行(以处理渲染任务),这种方法有效绕过了安全研究人员用于检测恶意软件的许多沙盒和虚拟环境。
新证据表明,该活动与先前与StealC分发相关的俄语威胁行为者有关。其战术模仿了早期冒充电子前沿基金会(EFF)以针对《阿尔比恩OL》玩家的行动。这两次活动具有相同的特征:
- 使用诱饵文档/文件。
- 高级规避技术。
- 依赖Pyramid C2(命令与控制)基础设施。
一旦受害者打开受损的.blend文件,多阶段感染过程随即开始:
- 初始执行:嵌入的Python脚本在后台静默运行。
- 有效载荷检索:它下载一个PowerShell脚本,该脚本随后从攻击者控制的域名获取两个ZIP压缩包(
ZalypaGyliveraV1和BLENDERX)。 - 提取与持久化:压缩包被解压到
%TEMP%目录。恶意软件在Windows启动文件夹中创建LNK文件,以确保每次计算机启动时都能运行。 - 执行:系统部署StealC V2以及一个辅助的Python窃取程序。
StealC V2于2025年4月首次公布,是原始信息窃取程序的有效演进,在地下市场以约200美元/月的价格出售。它旨在窃取大量敏感数据:
- 浏览器:针对23种以上浏览器(包括Chrome 132+),窃取cookie、密码和历史记录。
- 加密货币钱包:扫描15种以上桌面钱包。
- 扩展程序:危及超过100个网页插件。
- 应用程序:从Discord、Telegram、ProtonVPN等应用程序窃取数据。
值得注意的是,该恶意软件的许多样本目前在VirusTotal等平台上的检测率极低,这使得即使对安装了活动防病毒软件的用户也构成危险。防御这种威胁最有效的方法是在Blender中进行一个简单的配置更改:除非完全信任文件来源,否则请保持“自动运行Python脚本”为禁用状态。