网络犯罪分子发现了一个针对创意设计社区的 新攻击向量,通过利用广泛使用的开源 3D 建模应用 Blender 实施攻击。
威胁行为者将恶意文件上传至 CGTrader 等热门资产平台,文件中嵌入的 Python 脚本在用户用 Blender 打开时自动执行。
这项通过持续威胁调查发现的复杂攻击活动表明,攻击者正不断调整策略,以攻陷 Windows、macOS 和 Linux 系统上毫无防备的用户。
这些恶意 .blend 文件被武器化,用于从受害机器窃取敏感信息,包括密码、加密货币钱包以及来自多个浏览器和应用程序的身份验证凭据。这对创意行业构成重大风险——Blender 的免费和强大功能使其成为专业人士和爱好者的必备工具。
Morphisec 安全研究人员在分析感染链和命令与控制基础设施后识别并追踪了此活动。研究显示,攻击直接关联 StealC V2——一种危险的信息窃取恶意软件,自 2025 年 4 月出现以来,在地下犯罪市场中日益流行。
当用户在 Blender 启用“自动运行 Python 脚本”设置的情况下打开受感染的 .blend 文件时,嵌入的 Rig_Ui.py 脚本会自动执行。
恶意软件随后从攻击者控制的远程服务器获取 PowerShell 加载器,该加载器下载多个包含 完整 Python 环境 的压缩文件,预加载了 StealC V2 和其他窃取组件。
提取的文件会创建隐藏的快捷方式文件(LNK),并复制到 Windows 启动文件夹,确保恶意软件在系统重启后仍能持久化。
攻击链涉及 多阶段混淆 并使用加密通信通道:Python 脚本通过 Pyramid 命令与控制基础设施,使用 ChaCha20 加密下载加密 payload,这使得检测和分析变得极具挑战性。
StealC V2 本身针对 23 种以上网页浏览器、100 多种浏览器扩展、15 种桌面加密货币钱包、Telegram 和 Discord 等消息应用程序以及 VPN 客户端。该恶意软件包含更新的权限提升技术,在安全分析平台上保持低检测率,能够规避传统安全解决方案。
用户应 禁用 Blender 对不受信任文件来源的“自动运行”功能,并在从社区平台下载 3D 模型时保持警惕。
发表评论
您还未登录,请先登录。
登录