СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
25.11.2025
#Dev#ИБ#Инфра

«Русских хакеров» обвинили в маскировке вредоносного кода в 3D-моделях Blender для кражи данных

171Русских хакеров187 обвинили в маскировке вредоносного кода в 3D-моделях Blender для кражи данных

Изображение: recraft

Специалисты по кибербезопасности из компании Morphisec выявили хитрую схему, где файлы для популярной программы Blender превращаются в оружие для распространения инфостилера StealC V2. Эта атака тянется уже как минимум полгода, и её следы ведут якобы к русскоязычным группам хакеров, которые не в первый раз прибегают к таким трюкам. Злоумышленники загружают поддельные модели на сайты вроде CGTrader, где дизайнеры и геймеры скачивают их, не подозревая о подвохе.

Как только жертва открывает файл в Blender с опцией автостарта, запускается цепочка скриптов на Python, которая незаметно внедряет вредоносное ПО в систему.

Эксперты Morphisec в свежем отчёте связывают эту кампанию с прошлыми операциями тех же преступников, где они выдавали себя за правозащитную организацию Electronic Frontier Foundation и охотились на фанатов онлайн-игры Albion Online.

Там использовались похожие приёмы: фальшивые материалы, тихий запуск в фоне и серверы Pyramid C2 для управления заражёнными машинами. В новом случае всё начинается с изменённого модуля Rig_Ui.py, спрятанного внутри расширения .blend. Этот кусок кода тянет загрузчик с подозрительного сайта works.dev, а тот уже вызывает PowerShell-скрипт плюс пару архивов ZIP с python-стилерами.

Вредоносный груз распаковывается в скрытую папку Windows, где создаются ярлыки LNK для хранения награбленного. Дальше данные шифруются и уходят на командные серверы Pyramid C2, где хакеры их разбирают. По данным Morphisec, такая схема позволяет обходить стандартные антивирусы, потому что Blender — это доверенный инструмент для 3D-работы, и файлы кажутся безобидными.

StealC V2, который начали продавать на чёрных рынках с апреля 2025 года, стал настоящим хитом среди мелких кибермошенников. Его цена стартует от 200 долларов за месяц аренды и доходит до 800 долларов за полгода доступа, что делает его выгодным для новичков без своих разработок. Обновлённая версия охватывает свыше 23 браузеров, больше 100 расширений, около 15 программ для криптокошельков, плюс мессенджеры, VPN и email-клиенты. Это значит, что жертвы рискуют потерять логины, пароли, финансовые записи и даже личные чаты.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: