Blender è un noto software di modellazione 3D open source, recentemente arrivato alla versione 5.0. I ricercatori di Morphisec hanno scoperto che alcuni file Blender distribuiti su piattaforme di terze parti nascondono il malware StealC V2 che può rubare credenziali dal browser e altri dati.

Meglio disattivare l’esecuzione automatica

Una delle funzionalità di Blender è quella che permette di inserire script Python all’interno dei file .blend dei modelli 3D. Se l’opzione Auto Run è attiva, gli script vengono eseguiti automaticamente all’apertura dei file. I ricercatori di Morphisec hanno individuato alcuni file infetti sul marketplace CGTrader.

All’avvio viene eseguito lo script Python incluso nei file che scarica uno script PowerShell. Quest’ultimo scarica due archivi ZIP, uno dei quali include lo script Python che consente di installare StealC V2 sul computer al termine di una serie di passaggi. Per la persistenza viene aggiunto un link alla cartella Esecuzione automatica di Windows.

Lo script PowerShell scarica anche un secondo malware (BLENDERX) che viene usato come alternativa, se il primo non funziona in modo corretto. StealC V2 è l’ultima versione dell’infostealer (annunciato a fine aprile) che offre funzionalità aggiuntive rispetto alla versione originaria.

Può rubare credenziali da oltre 23 browser, oltre 100 estensioni e oltre 15 wallet di criptovalute. Può inoltre accedere a client VPN (ProtonVPN e OpenVPN), Thunderbird e app di messaggistica (Telegram, Discord, Tox e Pidgin). Al momento lo script usato per distribuire StealC V2 viene rilevato solo da 15 antivirus.

I software open source offrono molti vantaggi, ma anche alcuni pericoli. È infatti piuttosto semplice nascondere malware all’interno dei file distribuiti online, come accede spesso con i repository di GitHub. Nel caso di Blender è fortemente consigliata la disattivazione dell’esecuzione automatica degli script Python, a meno che la fonte non sia affidabile al 100%.