Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utilizó archivos de Blender Foundation para implementar un ladrón de información llamado StealC V2.
“Esta operación en curso, que ha estado activa durante al menos seis meses, implica la implantación de archivos .blend maliciosos en plataformas como CGTrader”, dijo el investigador de Morphisec Shmuel Uzan en un informe obtenido por The Hacker News.
“Los usuarios, sin saberlo, descargan estos archivos de modelos 3D que están diseñados para ejecutar scripts de Python integrados cuando se abren en Blender, una suite de creación 3D gratuita y de código abierto”.
La firma de ciberseguridad dijo que la actividad tenía similitudes con una campaña anterior que involucró a actores de amenazas de habla rusa que involucraban hacerse pasar por la Electronic Frontier Foundation (EFF) para apuntar a la comunidad de juegos en línea e infectarla con StealC y Pyramid C2.
Esta evaluación se basa en similitudes tácticas en ambas campañas, incluido el uso de documentos engañosos, técnicas de evasión y ejecución de malware en segundo plano.
Los ataques más recientes abusan de la capacidad de incrustar scripts de Python, como plataformas de dibujo, en archivos .blend que se ejecutan automáticamente cuando se abren en escenarios donde la opción Ejecución automática está habilitada. Este comportamiento puede ser peligroso porque abre la puerta a la ejecución de scripts Python arbitrarios.
Blender reconoció el riesgo de seguridad en su propia documentación, que dice: “La capacidad de incluir scripts de Python en archivos Blend es valiosa para tareas avanzadas como rigging y automatización. Sin embargo, plantea un riesgo de seguridad porque Python no limita lo que un script puede hacer”.
Las cadenas de ataque implican esencialmente cargar archivos .blend maliciosos en sitios de activos 3D gratuitos como CGTrader, que contienen un script malicioso “Rig_Ui.py” que se ejecuta tan pronto como se abren con la función de ejecución automática de Blender habilitada. Esto, a su vez, llama a un script de PowerShell para descargar dos archivos ZIP.
Mientras que uno de los archivos ZIP contiene una carga útil para StealC V2, el segundo archivo implementa un ladrón secundario basado en Python en el host comprometido. La versión actualizada de StealC, anunciada por primera vez a finales de abril de 2025, admite una amplia gama de funciones de recopilación de información y permite la extracción de datos de 23 navegadores, 100 complementos y extensiones web, 15 aplicaciones de billetera de criptomonedas, servicios de mensajería, VPN y clientes de correo electrónico.
“Deje la ejecución automática desactivada a menos que se confíe en la fuente del archivo”, dijo Morphisec. “Los atacantes explotan Blender, que normalmente se ejecuta en máquinas físicas con GPU, evitando entornos aislados y entornos virtuales”.
About The Author
