概要:3Dモデル市場で発見された新たな脅威
ロシア関連のサイバー攻撃キャンペーンが、3Dモデルマーケットプレイス(CGTraderなど)にアップロードされた悪意あるBlenderファイルを通じて、StealC V2情報窃取マルウェアを拡散していることが判明しました。この攻撃は、人気のオープンソース3D作成スイートであるBlenderの特定の機能を悪用しています。
攻撃の手口:Blenderのスクリプト自動実行機能の悪用
Blenderは、自動化、カスタムUIパネル、アドオン、レンダリングプロセスなどのためにPythonスクリプトを実行する強力な機能を備えています。ユーザーが利便性のために「Auto Run Python Scripts(Pythonスクリプトの自動実行)」オプションを有効にしている場合、ファイルを開くと同時にPythonスクリプトが自動的に実行されます。サイバーセキュリティ企業Morphisecの研究者によると、攻撃者はこの機能を悪用し、悪意ある.blendファイルにPythonコードを埋め込んでいます。
この埋め込まれたPythonコードは、Cloudflare Workersドメインからマルウェアローダーをフェッチします。その後、ローダーはPowerShellスクリプトを取得し、これが攻撃者制御下のIPアドレスから「ZalypaGyliveraV1」と「BLENDERX」という2つのZIPアーカイブをダウンロードします。これらのアーカイブは%TEMP%フォルダーに展開され、永続化のためにスタートアップディレクトリにLNKファイルをドロップします。最終的に、StealC情報窃取マルウェアと補助的なPythonステイラー(冗長性のために使用されている可能性が高い)が展開されます。
StealCマルウェアの詳細:拡大する情報窃取能力
Morphisecの研究者が分析したStealCマルウェアは、今年初めにZscalerの研究者が分析したStealCの第2主要バージョンの最新亜種でした。この最新版のStealCは、そのデータ窃取能力を大幅に拡張しており、以下からの情報窃取をサポートしています。
- 23種類以上のブラウザ(サーバー側での認証情報復号化、Chrome 132+との互換性を含む)
- 100種類以上の仮想通貨ウォレットブラウザ拡張機能および15種類以上の仮想通貨ウォレットアプリ
- Telegram、Discord、Tox、Pidgin、VPNクライアント(ProtonVPN、OpenVPN)、およびメールクライアント(Thunderbird)
さらに、更新されたUACバイパスメカニズムも搭載されています。
セキュリティ業界の課題:アンチウイルスによる検出の困難さ
StealCマルウェアは2023年から確認されていますが、その後のリリースはアンチウイルス製品による検出を回避し続けているようです。Morphisecは、分析したStealCの亜種がVirusTotal上のどのセキュリティエンジンでも検出されなかったと報告しており、現在の検出技術がこの種の脅威に追いついていない現状を浮き彫りにしています。
ユーザーへの推奨事項:3Dモデル利用時の注意喚起
3Dモデルマーケットプレイスがユーザーが提出するファイルのコードをすべて精査することは困難であるため、Blenderユーザーは、これらのプラットフォームから入手したファイルを使用する際に細心の注意を払うよう助言されています。特に、Blenderの「Auto Run Python Scripts」オプションを無効にすることが推奨されています。この設定は、「Blender > Edit > Preferences」から変更できます。
3Dアセットは、実行可能ファイルと同様に扱うべきであり、信頼できる実績のあるパブリッシャーからのもののみを使用することが重要です。それ以外のファイルについては、サンドボックス環境でテストすることを強くお勧めします。