พบแคมเปญที่มีความเชื่อมโยงกับรัสเซีย กำลังแพร่กระจายมัลแวร์ขโมยข้อมูล StealC V2 ผ่านไฟล์ Blender ที่เป็นอันตราย ซึ่งถูกอัปโหลดไปยังตลาดซื้อขาย 3D model เช่น CGTrader
Blender เป็นชุดโปรแกรมสร้างสรรค์งาน 3D แบบ open-source ที่มีประสิทธิภาพสูง ที่สามารถรันสคริปต์ Python ได้เพื่อใช้ในการทำงานอัตโนมัติ, การปรับแต่ง user interface panel, add-on, กระบวนการ render, เครื่องมือ Rigging และการเชื่อมต่อกับระบบ Pipeline การทำงาน
หากเปิดใช้งานฟีเจอร์ Auto Run เมื่อผู้ใช้เปิดไฟล์ Character Rig สคริปต์ Python จะสามารถโหลดตัวควบคุมใบหน้า และแผง UI ที่ปรับแต่งไว้ พร้อมกับปุ่ม และแถบเลื่อนที่จำเป็นขึ้นมาให้โดยอัตโนมัติ
ถึงแม้จะมีความเสี่ยงที่จะถูกนำไปใช้ในการโจมตี แต่ผู้ใช้ส่วนใหญ่ก็มักจะเปิดใช้งานตัวเลือก Auto Run ไว้เพื่ออำนวยความสะดวกสบาย
นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Morphisec ตรวจพบการโจมตีที่ใช้ไฟล์นามสกุล .blend ที่เป็นอันตราย ซึ่งมีการฝังโค้ด Python เอาไว้เพื่อไปดึงตัว Malware loader มาจากโดเมนของ Cloudflare Workers
จากนั้นตัว Loader จะไปดึงสคริปต์ PowerShell ซึ่งจะทำการดาวน์โหลดไฟล์ ZIP สองไฟล์ ได้แก่ ZalypaGyliveraV1 และ BLENDERX มาจาก IP Address ที่อยู่ภายใต้การควบคุมของผู้โจมตี
ไฟล์ ZIP เหล่านี้จะถูก unpack ไฟล์ลงในโฟลเดอร์ %TEMP% และจะมีการวางไฟล์ LNK ไว้ในไดเรกทอรี Startup เพื่อให้มัลแวร์สามารถกลับมาทำงานเองได้ทุกครั้งที่เปิดเครื่อง ลำดับถัดมา มันจะปล่อย Payload สองตัว ได้แก่ มัลแวร์ขโมยข้อมูล StealC และตัวขโมยข้อมูลเสริมที่เขียนด้วย Python ซึ่งคาดว่ามีไว้เพื่อสำรองการทำงาน
นักวิจัยจาก Morphisec รายงานว่า มัลแวร์ StealC ที่ใช้ในแคมเปญนี้ เป็นเวอร์ชันล่าสุดของเวอร์ชัน 2 ซึ่งเคยถูกวิเคราะห์โดยนักวิจัยจาก Zscaler ไปเมื่อช่วงต้นปีที่ผ่านมา
StealC เวอร์ชันล่าสุดนี้ได้ขยายขีดความสามารถในการขโมยข้อมูล และรองรับการดึงข้อมูลออกมาจาก :
- เว็บเบราว์เซอร์มากกว่า 23 รายการ พร้อมความสามารถในการถอดรหัสข้อมูล Credential จากฝั่งเซิร์ฟเวอร์ และรองรับ Chrome เวอร์ชัน 132 ขึ้นไป
- Extension ของ cryptocurrency wallet บนเว็บเบราว์เซอร์มากกว่า 100 รายการ และแอปพลิเคชัน cryptocurrency wallet อีกกว่า 15 รายการ
- Telegram, Discord, Tox, Pidgin, โปรแกรม VPN (ProtonVPN, OpenVPN) และโปรแกรมอีเมล (Thunderbird)
- กลไกการหลบเลี่ยง UAC (User Account Control) ที่ได้รับการอัปเดตใหม่
แม้ว่ามัลแวร์ตัวนี้จะมีการบันทึกข้อมูลไว้ตั้งแต่ปี 2023 แต่เวอร์ชันที่ปล่อยออกมาภายหลังดูเหมือนจะยังคงหลบเลี่ยงผลิตภัณฑ์ anti-virus ได้ โดย Morphisec ระบุว่าไม่มี engine ความปลอดภัยใดบน VirusTotal ที่สามารถตรวจจับ StealC เวอร์ชันที่พวกเขาวิเคราะห์ได้เลย
เนื่องจากตลาดซื้อขาย 3D model ไม่สามารถตรวจสอบโค้ดที่ฝังอยู่ในไฟล์ที่ผู้ใช้อัปโหลดได้อย่างละเอียด ผู้ใช้ Blender จึงควรใช้ความระมัดระวังเมื่อนำไฟล์จากแพลตฟอร์มเหล่านี้มาใช้งาน และควรพิจารณาปิดการทำงานของโค้ดแบบอัตโนมัติ
คุณสามารถตั้งค่าได้โดยไปที่ Blender > Edit > Preferences จากนั้นให้นำเครื่องหมายติ๊กถูกออกจากตัวเลือก 'Auto Run Python Scripts'
ควรตรวจสอบไฟล์ 3D model ให้เสมือนว่าเป็นไฟล์โปรแกรม และผู้ใช้ควรเชื่อถือเฉพาะผู้เผยแพร่ที่มีประวัติที่น่าเชื่อถือเท่านั้น สำหรับไฟล์อื่น ๆ นอกเหนือจากนี้ แนะนำให้ใช้สภาพแวดล้อมแบบ Sandbox ในการทดสอบ
ที่มา : bleepingcomputer
You must be logged in to post a comment.