Киберпреступники атакуют пользователей Blender через поддельные 3D-модели для распространения StealC V2

Особенность атаки заключается в эксплуатации легитимной функциональности Blender. Редактор поддерживает выполнение встроенных Python-скриптов, что используется для автоматизации задач 3D-моделирования. Однако при включенной опции Auto Run Python Scripts в настройках программы зловредные скрипты выполняются автоматически при открытии файла без какого-либо предупреждения для пользователя.

Технический анализ показал, что атака развивается по многоступенчатой схеме. Сначала встроенный в .blend-файл скрипт под именем Rig_Ui.py обращается к удаленному серверу для загрузки PowerShell-сценария. Затем этот сценарий скачивает два ZIP-архива, содержащих компоненты StealC V2 и дополнительный модуль для кражи данных. Для обеспечения постоянства в системе злоумышленники создают ярлыки LNK в папке автозагрузки Windows.

StealC V2 представляет собой развитый инфостилер, активно предлагаемый на теневых форумах. По данным на июль 2025 года, злоумышленники продолжают развивать его функциональность. Программа способна похищать данные из более чем 23 браузеров, включая актуальные версии Chrome, а также получать доступ к криптокошелькам, мессенджерам и почтовым клиентам.

Blender представляет особый интерес для киберпреступников по нескольким причинам. Во-первых, это популярное кроссплатформенное приложение с открытым исходным кодом, широко используемое как любителями, так и профессионалами. Во-вторых, программа обычно устанавливается на физические машины с мощными графическими процессорами, что позволяет обходить системы обнаружения, работающие в виртуальных средах.

Эксперты по безопасности настоятельно рекомендуют пользователям Blender отключать автоматический запуск Python-скриптов в настройках программы. Данная опция находится в разделе Preferences → File Paths → Auto Run Python Scripts. Кроме того, следует загружать 3D-модели только из проверенных источников и проявлять осторожность при использовании бесплатных ресурсов.

Обнаруженная кампания демонстрирует растущую изощренность киберпреступников, которые все чаще используют легитимное программное обеспечение для маскировки своих атак. В данном случае злоумышленники эксплуатируют доверие пользователей к популярным платформам для обмена 3D-контентом и мощные возможности Blender по автоматизации для скрытного распространения вредоносных программ.

Платформа предотвращения ransomware-атак Morphisec успешно блокировала данные угрозы на ранних стадиях благодаря технологии упреждающей защиты. Традиционные антивирусные решения могут оказаться неэффективными против таких атак, поскольку злоумышленники используют многоэтапную схему с постоянно обновляемыми компонентами.

IPv4

• 104.245.241.157
• 178.16.53.64
• 178.16.54.69
• 178.16.54.78
• 192.168.178.60
• 91.92.241.143
• 91.92.242.85
• 91.92.242.88
• 91.92.243.87

URLs

• http://178.16.54.69:443/login/3keXipGb5Rr+gpGO9CjsSfdz+of5
• http://178.16.54.69:443/login/w1GHz5ydpg/q
• http://212.87.222.84:443/login/3keXipGb5Rr+gpGO9CjsSfdz+of5
• http://213.209.150.224:443/login/3keXipGb5Rr+gpGO9CjsSfdz+of5
• http://91.92.241.143:443/login/w1GHz5ydpg/q
• http://91.92.242.88:443/login/3keXipGb5Rr+gpGO9CjsSfdz+dqtXp32//B8qVKFSbc=
• http://91.92.242.88:443/login/3keXipGb5Rr+gpGO9CjsSfdz+of5
• http://91.92.243.87:443/login/3keXipGb5Rr+gpGO9CjsSfdz+dqtXp32//B8qVKFSbc=
• http://91.92.243.87:443/login/3keXipGb5Rr+gpGO9CjsSfdz+of
• http://91.92.243.91/documents/files/64CC37828HHKDeQ/BLENDERX.zip
• http://zovwowgyl.spoticualpe1970.workers.dev/get-link
• https://addons1.12cloudaddons198756.workers.dev/get-link
• https://addons1.poupathockm2ist10012.workers.dev/get-link
• https://blenderx.mouthrunnbeva1986.workers.dev/get-link
• https://blenderx.osloyverjua1977.workers.dev/get-link
• https://blenderxnew.tohocaper1979.workers.dev/get-link
• https://serikalikl.spoticualpe1970.workers.dev/get-link
• https://www.cgtrader.com/free-3d-models/character/man/spacesuit-nasa-apollo-11-84ff16e9-8b65-4faa-9b53-8aabb421b98f
• https://zalukina.avisregde1988.workers.dev/get-link
• https://zalypagylivera.disppomeverp1976.workers.dev/get-link
• https://zalypagylivera.nzalupadons1912.workers.dev/get-link
• https://zalypagylivera.opkerrira1972.workers.dev/get-link
• https://zovwowgyl.simzqlupasdali1976.workers.dev/get-link

SHA256

• 0c2bedea744686eba1bfe116a0702f144fad0b6020a8e91f12574398683a9de5
• 0dbf2efbffc23831a571befb1d830c2d5fd855061259c93d6e5de35fad9d5bc1
• 11fa573238720a06562476cd2bfcabedbff5661d5bc83aa0325521643c903ba1
• 158abe39ff73e2ec950f4bc783020eb1f41be0dc89c0a6b8032a3438edde9dfd
• 1ab530cdce98295d0566e237e8e577ce4d77b73586ea7e7200d963831391e64b
• 4c4fcb13e70c438799ffd7263b050b807f4416952955f3c65801cc63b92985d8
• 5681c26dae72c7a6f6b6e2f85fd3a3487888a6032c7a876bfbc4bf2c3a18ab97
• 5da95de05a961989a4a67187e19a27143298e520b974d7f7c35a4bfccb7f0ba4
• 7b4fc95be7ca3bde156fd53d10d05bf8c1a11d36155dc6179c9d4afdd5e6862f
• 7e59e79f48fd2279f9e8bfefa91d79feb4afef5720f7a338e46d2a6d1a607872
• 8924df94890216c5b32142662e2131e0190163a2e96fa0183e5759a1dad89663
• 984cddf10b9aeda26d31de10bf6a020f8da61d15826fea7d90257ddf7e135368
• a7e617783d7f1b0079c605126fba074ee7ee431077cd97d391e41f364a0afe1b
• a7ee45c1f72872e61f219d561f16710947f3d18441fc730c4a8896ddb98583ea
• ad278e48574cb10fe84b9b46c8b7bef4f71c25b29f3edac93829b675b736bd69
• c3ab6d4bd8ee655fb8e5255a7acbcb39eb3fff013b9bd5893fd28e5d568fd0a5
• c62e094cf89f9a2d3b5018fdd5ce30e664d40023b2ace19acc1fd7c6b2347143
• db799377a0fede856c12d3c7eb30ecdc30ec09b6c021c22d7c5d68e7a6f66109
• ea270cf9db1f861fd59ff142444d32bbacc00003e9bb821a84e7f2b8f5277211
• f2f8846d55221682124e1030ab8db45a2aee39400af9d2410f8339294eca8fa0
• fc16ab400800b3d6a05b6fb3884d5ba52ed097b8f50a2beab25442961b8fb8d0
• fd4498a7f9bc714466a86f59aa4565a2b5f4c4eee7c1a36e71fac43d7c876abd