Исследователи по безопасности из компании Morphisec заметили серию атак на пользователей программы 3D-моделирования Blender. Злоумышленники распространяли вредоносные blend-файлы через популярные каталоги 3D-моделей, например CGTrader.
Атака ориентирована на тех, у кого включен автоматический запуск скриптов из blend-файлов. По умолчанию эта функция отключена, но пользователь может разрешить запуск в появляющемся предупреждении или однажды изменить настройки, чтобы не подтверждать действие каждый раз.
Вредоносные файлы выглядели как обычные рабочие ресурсы, например модели скафандров. Кроме того, как выяснили эксперты, в скрипт rig_ui.py были добавлены фрагменты кода для загрузки и запуска вредоносной программы StealC V2. Для маскировки использовался промежуточный сайт blenderxnew.tohocaper1979.workers.dev, работающий на платформе Cloudflare Workers. Собранные на компьютере данные отправлялись злоумышленникам в зашифрованном виде.
После запуска StealC V2 оставался в системе и продолжал собирать конфиденциальную информацию. Программа перехватывала и искала токены доступа, ключи шифрования и пароли.
Также она умела извлекать данные из 15 видов криптокошельков, более 100 браузерных расширений для работы с криптовалютами и платежами, 23 браузеров, включая Chromium, Firefox, Opera и Brave, а также из мессенджеров (Telegram, Discord, Tox, Pidgin), VPN-сервисов (ProtonVPN, OpenVPN) и почтовых клиентов вроде Thunderbird. Эксперты подчёркивают, что атака затрагивает только пользователей Windows.
