Duty-Free.cc
Новости

Фальшивые 3D-модели теперь воруют VPN-данные и ключи криптокошельков сразу при открытии файла.

Duty News 0 25.11.2025

Каждый новый загруженный ассет всё чаще превращается в потенциальную угрозу для личных данных.

Недавний инцидент с вредоносными файлами в сфере 3D-дизайна показал, что даже привычные рабочие процессы становятся уязвимыми, если опираются на автоматические механизмы. На популярных платформах с 3D-контентом начали появляться проекты для Blender, внутри которых скрыт StealC V2 — инструмент, известный возможностью незаметно извлекать конфиденциальную информацию из десятков приложений.

Распространение идёт через сервисы вроде CGTrader: злоумышленники выкладывают поддельные модели в формате «.blend», не вызывающие подозрения у дизайнеров. Ситуация усложняется тем, что Blender поддерживает запуск Python-скриптов, а включённая опция Auto Run позволяет выполнять код сразу после открытия файла. Для многих пользователей эта функция — привычная часть рабочего процесса, что делает её идеальной точкой входа для атак.

Исследователи Morphisec обнаружили, что в заражённых проектах размещён скрипт, загружающий промежуточную программу с домена, размещённого на Cloudflare Workers. Следующим этапом устройство получает PowerShell-компонент, который скачивает два ZIP-архива с серверов злоумышленников. После извлечения их содержимого в каталог %TEMP% система получает элементы автозапуска и два модуля: сам StealC и дополнительный Python-инструмент, вероятно используемый как резервная цепочка.

Актуальная версия StealC способна собирать широкий спектр данных — от информации браузеров и расширений криптокошельков до сведений из мессенджеров, почтовых клиентов и VPN-программ. В обновлённом варианте также задействуются улучшенные методы обхода UAC. Morphisec отмечает, что обнаруженный образец не определялся ни одним антивирусным движком в VirusTotal, что говорит о высокой степени скрытности.

Системы проверки пользовательских загрузок на маркетплейсах 3D-моделей ограничены, поэтому полностью исключить появление вредоносных файлов невозможно. Эксперты советуют отключить автозапуск скриптов в настройках Blender и проверять любые неизвестные проекты в изолированной среде.

Такой подход помогает минимизировать риски и относиться к загружаемым ассетам так же осторожно, как к потенциально опасным исполняемым файлам.