Blenderは、いろいろなOSで動作する状態で配布されているオープンソースの統合型3DCG製作、2Dアニメーション製作、VFX向けデジタル合成、動画編集ソフトウェアです。
高機能なうえに、無償で利用することができるため、利用者は多くいます。
このアプリケーションはPythonで実装されています。
無償で利用できるのはよいのですが、思い通りにコンテンツを作ろうとする場合、その操作はそんなに簡単ではありません。
このようなこともあり、多くの利用者が自作のデータファイルを公開しており、学習者はこういった公開されたデータを利用して学習することも二次創作することもできる環境が出来上がっています。
盛り上がっている環境には脅威アクターも群がります。
武器に選ばれてしまったのは、Blenderのデータファイルでした。
攻撃チェーンは次のように進みます。
- Blenderのデータファイルを公開する
脅威アクターは悪意ある内容を含むデータファイルを作成し、これを公開します。
公開場所は、無償利用できるデータが多数公開されているサイトです。 - 塊が展開される
被害者は公開されたデータファイルをダウンロードします。
ダウンロードしただけなら問題ないようにも思えますが、そうはいきません。
データファイルをダウンロードしたPC環境でBlenderの自動実行機能が有効な状態になっている場合、ダウンロードされたデータファイルに含まれる機構が自動実行されます。
自動実行されるとその中に含まれているものが展開されます。 - ローダーの取得
自動実行された機構はマルウェアローダーを取得する動きを行います。 - PowerShellスクリプトの取得と実行
次に悪意ある機構はPowerShellスクリプトを取得します。
取得されて実行されたPowerShellスクリプトは、次にZIPファイルを取得します。
取得されたZIPファイルは展開され、永続化処理込みで設置されます。
取得されて設置されるマルウェアは、StealC V2です。
このマルウェアは継続的に拡張されているものです。
アンダーグラウンドマーケットプレイスで購入できるものなので、入手するのも利用するのも難しくありません。
現在のStealC V2は、23種類のブラウザ、100種類のウェブプラグインと拡張機能、15種類の暗号通貨ウォレットアプリ、メッセージングサービス、VPN、メールクライアントからデータを抽出できます。
アプリケーションでデータを開いた際に自動実行される機構は通常であれば自動処理の実行などを行わせることができて便利です。
しかし便利と危険は常に表裏一体です。
信頼できるファイルであることがわかっている場合を除いて、自動実行は危険なものであるということで無効にしておきましょう。
Morphisec Thwarts Russian-Linked StealC V2 Campaign Targeting Blender Users via Malicious .blend Files
https://www.morphisec.com/blog/morphisec-thwarts-russian-linked-stealc-v2-campaign-targeting-blender-users-via-malicious-blend-files/
| この記事をシェア |
|
|---|
