Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Малициозните датотеки на моделот на Blender испорачуваат малициозен софтвер за крадење информации од StealC

Објавено: 25.11.2025

Кампања поврзана со Русија го дистрибуира StealC V2 малициозниот софтвер за кражба на информации преку злонамерни Blender фајлови прикачени на пазари за 3D модели како CGTrader.

Blender е моќен open-source пакет за 3D креирање кој може да извршува Python скрипти за автоматизација, сопствени кориснички интерфејс панели, додатоци, процеси за рендерирање, алатки за ригирање и интеграција во работниот процес.

Доколку е вклучена опцијата Auto Run, кога корисникот ќе отвори character rig, Python скрипта може автоматски да ги вчита контролите за лицето и прилагодените UI панели со потребните копчиња и лизгачи.
И покрај потенцијалот за злоупотреба, корисниците често ја активираат опцијата Auto Run поради удобност.

Истражувачите од компанијата за сајбер безбедност Morphisec забележале напади кои користат злонамерни .blend фајлови со вграден Python код што презема loader за малициозен софтвер од домен на Cloudflare Workers.

Malicious Blender files → Злонамерни Blender фајлови

Loader-от потоа презема PowerShell скрипта која повлекува две ZIP архиви, ZalypaGyliveraV1 и BLENDERX, од IP адреси контролирани од напаѓачите.

Архивите се распакуваат во папката %TEMP% и поставуваат LNK фајлови во Startup директориумот за да се обезбеди трајност (persistence). Потоа се распоредуваат два payload-и: StealC инфостилерот и помошен Python крадец, најверојатно користен како резервна опција.

Overview of the attack chainПреглед на синџирот на нападот

Истражувачите од Morphisec известуваат дека StealC малициозниот софтвер користен во оваа кампања е најновата варијанта од втората главна верзија на малициозниот софтвер, која беше анализирана од истражувачите на Zscaler претходно оваа година.

Најновиот StealC ги има проширено своите способности за кражба на податоци и поддржува ексфилтрација од:

  • 23+ прелистувачи, со дешифрирање на креденцијали на серверска страна и компатибилност со Chrome 132+
  • 100+ екстензии за крипто-паричници во прелистувачи и 15+ апликации за крипто-паричници
  • Telegram, Discord, Tox, Pidgin, VPN клиенти (ProtonVPN, OpenVPN) и е-поштенски клиенти (Thunderbird)
  • Ажуриран механизам за заобиколување на UAC

И покрај тоа што малициозниот софтвер е документиран уште од 2023 година, поновите изданија сè уште остануваат тешко откриени од антивирусните производи. Morphisec наведува дека ниту еден безбедносен енџин на VirusTotal не ја детектирал StealC варијантата што тие ја анализирале.

Бидејќи пазарите за 3D модели не можат детално да го проверуваат кодот во фајловите испратени од корисници, на корисниците на Blender им се препорачува да бидат внимателни при користење фајлови преземени од вакви платформи и да размислат за исклучување на автоматското извршување на код.

Ова може да го направите преку:
Blender > Edit > Preferences > исклучете ја опцијата ‘Auto Run Python Scripts’.

3D ресурсите треба да се третираат како извршни фајлови, а корисниците треба да им веруваат само на издавачи со докажан кредибилитет. За сè друго, се препорачува користење на изолирани (sandbox) околини за тестирање.

Извори:

  • Bleeping Computer – Malicious Blender model files deliver StealC infostealing malware Bleeping Computer