- ロシアのハッカーがBlenderのAuto Run機能を悪用し、.blendファイル経由でStealC情報窃取マルウェアを配布
- CGTraderのアセットを通じてマルウェアを展開し、Cloudflare Workersドメインからペイロードを取得
- StealCの亜種は、ブラウザ、暗号通貨ウォレット、チャットアプリ、VPNクライアントを検出されずに標的に
Blenderには便利だがリスクのある機能があり、専門家によるとロシアのハッカーがこれを悪用して情報窃取マルウェアを配布していることが判明しました。
サイバーセキュリティ研究者のMorphisecは、実際の攻撃を観測し、デザイナーや他の専門家に警戒を呼びかけています。
Blenderは、オープンソースの3D制作スイートとして、アーティスト、アニメーター、ゲーム開発者、スタジオに幅広く利用されており、モデリングやレンダリングからビジュアルエフェクトまで様々な用途に使われています。また、CGTraderは3Dアーティストやデザイナーがプロジェクト用のユーザー生成モデルやアセットを売買・共有できるマーケットプレイスです。
重大な影響
現在、Morphisecはロシア関連のサイバー犯罪者がPythonコードを埋め込んだ.blendファイルをCGTraderにアップロードしているのを確認したと述べています。
このコードは、Cloudflare Workersドメインからマルウェアローダーを取得し、それがさらに2つのZIPアーカイブをダウンロードします。これらは2つのペイロードを展開し、StealCインフォスティーラーと補助的なPythonスティーラー(おそらくバックアップ用)を含みます。
当然ながら、Pythonコードを実行する必要があります。ここで「便利だがリスクのある」機能が登場します。それがAuto Run(自動実行)で、有効になっている場合、ユーザーがキャラクターリグを開くとスクリプトが自動的に顔コントロールやカスタムUIパネルを読み込み、それによってマルウェアの展開プロセスが引き起こされます。
StealCは数年前から存在する人気の情報窃取マルウェアで、多数の著名なキャンペーンで観測されています。また、継続的に開発が進められており、新バージョンでは持続性、ステルス性、情報窃取能力が向上しています。
今回のキャンペーンで使用されたこの最新の亜種は、20以上のブラウザ、100以上の暗号通貨ウォレット拡張機能、15以上の暗号通貨ウォレットアプリ、大半のチャットアプリ、さらにはVPNクライアントからもデータを窃取することができます。
