ロシアと関連があるとされるキャンペーンが、CGTraderのような3Dモデルマーケットプレイスにアップロードされた悪意あるBlenderファイルを通じて、情報窃取マルウェア「StealC V2」を配布しています。
Blenderは強力なオープンソースの3D制作スイートであり、自動化、カスタムユーザーインターフェースパネル、アドオン、レンダリング処理、リギングツール、パイプライン統合などのためにPythonスクリプトを実行できます。
Auto Run(自動実行)機能が有効になっている場合、ユーザーがキャラクターリグを開くと、Pythonスクリプトによって、必要なボタンやスライダーを備えたフェイシャルコントロールやカスタムUIパネルを自動的に読み込むことができます。
悪用される可能性があるにもかかわらず、利便性のためにAuto Runオプションを有効にしているユーザーは少なくありません。
サイバーセキュリティ企業Morphisecの研究者は、Cloudflare Workersドメインからマルウェアローダーを取得する埋め込みPythonコードを含む悪意ある.blendファイルを使った攻撃を観測しました。
出典: Morphisec
ローダーはその後、PowerShellスクリプトを取得し、攻撃者が管理するIPから2つのZIPアーカイブ「ZalypaGyliveraV1」と「BLENDERX」をダウンロードします。
これらのアーカイブは%TEMP%フォルダーに展開され、永続化のためにスタートアップディレクトリにLNKファイルを配置します。次に、情報窃取マルウェアStealCと補助的なPython製スティーラーという2つのペイロードを展開します。後者は冗長性のために使用されているとみられます。
出典: Morphisec
Morphisecの研究者によると、このキャンペーンで使用されているStealCマルウェアは、今年初めにZscalerの研究者によって分析された、第2世代の最新亜種です。
最新のStealCはデータ窃取機能を拡張しており、以下からの情報流出をサポートしています。
- 23種類以上のブラウザ(サーバー側での認証情報復号およびChrome 132以降との互換性)
- 100種類以上の暗号資産ウォレット用ブラウザ拡張機能および15種類以上の暗号資産ウォレットアプリ
- Telegram、Discord、Tox、Pidgin、VPNクライアント(ProtonVPN、OpenVPN)、メールクライアント(Thunderbird)
- 更新されたUACバイパスメカニズム
このマルウェアは2023年から文書化されていますが、その後のリリースも依然としてアンチウイルス製品をすり抜けているようです。Morphisecは、彼らが分析したStealCの亜種について、VirusTotal上のいかなるセキュリティエンジンも検出できなかったとコメントしています。
3Dモデルマーケットプレイスは、ユーザーが投稿したファイル内のコードを精査できないため、Blenderユーザーはそのようなプラットフォームから入手したファイルを使用する際には注意を払い、自動コード実行機能を無効にすることを検討すべきです。
これは、Blender > Edit > Preferences > 「Auto Run Python Scripts」のチェックを外すことで行えます。
3Dアセットは実行ファイルと同様に扱うべきであり、実績のあるパブリッシャーのみを信頼するようにしてください。それ以外のものについては、テストにはサンドボックス環境を使用することが推奨されます。
