Blender fájlok: orosz malware-kampány
Egy orosz-hátterű malware-kampány olyan .blend fájlokat terjesztett 3D-modell-platformokon, amelyek látszólag egyszerű 3D-eszközök vagy modellek voltak. A fájlokat azok a felhasználók töltötték le, akik Blenderrel dolgoznak, majd — ha a Blender beállításai engedélyezték az automatikus Python-szkriptek futtatását — a letöltött modell megnyitásakor a háttérben aktiválódott egy Python-parancs, amely a StealC V2 behatolást indította. A kártékony kód ráadásul olyan modulokat tartalmazott, amelyek képesek voltak jelszavak, böngésző-cookie-k, adatállományok és más érzékeny fájlok megszerzésére, és a támadók számára visszajelzést küldtek. A Morphisec jelentése szerint a kampány legalább hat hónapig aktív volt, és jellemző módon az áldozatok közé tartoznak kreatív, 3D-grafikával foglalkozó felhasználók, kis- és középvállalkozások, valamint olyan szervezetek, amelyek Blender-fájlokat használnak belső vagy külső együttműködésben.
A támadási vektor különösen veszélyes, mert az érintett vállalati környezetben — különösen ahol a grafikai vagy 3D-modell-készítés része az üzletnek — a letöltött modell olyan fájlként jelenik meg, amellyel dolgozni kell. A felhasználó tehát gyakran normál műszaki eszközként tekint rá, nem számít arra, hogy a fájl mögött malware rejtőzik. Mivel a behatolás a végpontról indul – nem feltétlenül a hálózat peremén – a vállalati IT-biztonság számára ez azt jelentheti, hogy az adatlopás vagy későbbi kompromittálódás olyan belépési ponton történik meg, amelyet korábban kevéssé vizsgáltak. Ebből következően a vezetőknek tudatosítaniuk kell, a kis szoftverek, modellek és fájlok — mint 3D-modellek, grafikai letöltések — is komoly kockázatot hordozhatnak.
