Negli ultimi mesi è stata individuata una sofisticata campagna malevola che sfrutta file Blender 3D, in particolare file con estensione .blend, per infettare i dispositivi degli utenti con il malware StealC V2. Gli hacker caricano file compromessi su piattaforme di asset 3D come CGTrader. Questi file, apparentemente innocui, sono progettati per eseguire automaticamente script Python integrati non appena vengono aperti nel software Blender, grazie all’attivazione dell’opzione Auto Run.

Blender, essendo una suite open source molto diffusa per la modellazione 3D, permette di includere script Python all’interno dei suoi file per facilitare compiti avanzati come il rigging dei personaggi o l’automazione di processi. Tuttavia, questa funzionalità rappresenta un rischio per la sicurezza, perché lo script integrato non è soggetto a restrizioni e può eseguire qualsiasi operazione sul sistema ospite. Questo scenario è stato riconosciuto anche dalla stessa documentazione di Blender, che consiglia di mantenere disabilitata la funzione Auto Run a meno che la fonte del file non sia pienamente affidabile.

Dettagli della catena d’attacco

Nel dettaglio, la catena d’attacco prevede che l’utente scarichi un file .blend infetto contenente uno script Python denominato “Rig_Ui.py”. All’apertura con Auto Run attivo, questo script scarica e avvia un payload PowerShell che a sua volta recupera due archivi ZIP. Il primo contiene la versione aggiornata di StealC V2, malware specializzato nel furto di informazioni, mentre il secondo distribuisce un ulteriore stealer scritto in Python.

Funzionalità e bersagli del malware

StealC V2 si distingue per la sua capacità di raccogliere dati sensibili da un’ampia gamma di sorgenti, tra cui 23 browser, 100 estensioni web, 15 applicazioni per wallet di criptovalute, client di posta elettronica, servizi di messaggistica e VPN. Il malware viene così impiantato in modo difficilmente rilevabile, poiché Blender viene solitamente utilizzato su macchine fisiche dotate di GPU piuttosto che in ambienti virtualizzati o sandbox, eludendo molte soluzioni di sicurezza.

Raccomandazioni di sicurezza

Questa campagna presenta forti similitudini con precedenti operazioni attribuite a gruppi criminali di lingua russa, già noti per l’uso di documenti esca e tecniche di elusione per colpire comunità online e gamer. Gli esperti raccomandano una particolare attenzione nel download di asset 3D: è fondamentale abilitare Auto Run solo per file provenienti da fonti verificate e affidabili, in modo da prevenire l’esecuzione di script dannosi e la conseguente compromissione dei dati personali e aziendali.