AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Campaña vinculada a Rusia distribuye StealC V2 mediante archivos de Blender en marketplaces 3D**

admin

### 1. Introducción

En los últimos meses, los equipos de ciberinteligencia han identificado una sofisticada campaña de distribución de malware asociada a actores de amenaza de origen ruso. Esta operación utiliza archivos maliciosos de Blender, una popular aplicación de modelado 3D, como vector de ataque, y los distribuye a través de marketplaces reconocidos de modelos 3D, como CGTrader. El objetivo principal es la propagación del infostealer StealC V2, una variante avanzada diseñada para el robo masivo de credenciales y datos sensibles en sistemas comprometidos.

### 2. Contexto del Incidente

El uso de plataformas de distribución de recursos digitales, como los marketplaces de modelos 3D, se ha convertido en una vía emergente para la propagación de malware. En esta ocasión, los atacantes han aprovechado la confianza que tienen los diseñadores, desarrolladores de videojuegos y artistas digitales en repositorios públicos como CGTrader, Blend Swap y similares. Al subir archivos de Blender manipulados, los atacantes pueden comprometer a cualquier usuario que descargue y ejecute los proyectos infectados en su entorno local.

El modus operandi implica la suplantación de la identidad de usuarios legítimos y la publicación de modelos atractivos y gratuitos para maximizar el alcance de la campaña. Esta técnica permite a los atacantes evadir controles tradicionales y atacar verticales que tradicionalmente no son el foco principal de la ciberseguridad, como el sector creativo y de diseño industrial.

### 3. Detalles Técnicos: StealC V2 y Tácticas de Ataque

**Identificación y CVE:**
Por el momento, no existe un CVE específico asignado al vector de ataque basado en archivos .blend maliciosos, ya que la explotación no se basa en una vulnerabilidad de Blender, sino en la ejecución de scripts embebidos en los proyectos.

**Vector de ataque:**
La infección inicial se produce mediante la descarga y apertura de archivos .blend que contienen scripts Python maliciosos. Blender permite la ejecución de código Python embebido, lo que es aprovechado por los atacantes para desplegar payloads secundarios sin interacción adicional del usuario.

**Malware: StealC V2**
StealC V2 es una variante evolucionada de StealC, conocido por ser modular y estar disponible en foros clandestinos rusoparlantes. Sus capacidades incluyen:

– Exfiltración de credenciales de navegadores (Chrome, Firefox, Edge, Opera, Brave).
– Robo de carteras de criptomonedas locales (Exodus, Electrum, Coinomi).
– Extracción de bases de datos de aplicaciones de mensajería (Telegram, Discord).
– Captura y envío de archivos específicos según reglas configurables.
– Despliegue de cargas adicionales y persistencia mediante técnicas Living-off-the-Land (LotL).

**TTPs MITRE ATT&CK relacionados:**
– Initial Access: T1189 (Drive-by Compromise), T1195 (Supply Chain Compromise)
– Execution: T1059.006 (Python), T1204 (User Execution)
– Credential Access: T1555 (Credentials from Password Stores)
– Exfiltration: T1041 (Exfiltration Over C2 Channel)

**IoC conocidos:**
– Hashes de muestras detectadas en VirusTotal.
– Dominios C2 asociados: `stealc[.]cc`, `panel-stealc[.]xyz`
– Cadenas de User-Agent modificadas para evadir EDR.

**Herramientas y frameworks utilizados:**
– Scripts Python embebidos en Blender.
– Payloads descargados y ejecutados mediante Powershell.
– Automatización de la campaña mediante bots en foros de leaks y Telegram.

### 4. Impacto y Riesgos

El impacto de esta campaña se estima significativo, ya que CGTrader y otros marketplaces cuentan con millones de usuarios activos a nivel global. Según estimaciones iniciales, más de 5.000 descargas de archivos infectados han sido identificadas solo en el último mes, con una tasa de infección potencial superior al 8% entre los usuarios que han abierto los archivos en entornos Windows.

Los riesgos principales incluyen:

– Compromiso de credenciales corporativas y personales.
– Filtración de datos de proyectos industriales y de videojuegos en desarrollo.
– Movimientos laterales en redes empresariales conectadas a los equipos de diseño.
– Pérdida de propiedad intelectual y exposición a demandas por incumplimiento de GDPR y NIS2.

Las organizaciones del sector creativo, estudios de animación y desarrolladoras de videojuegos se encuentran particularmente expuestas, dada la alta confianza en el intercambio de archivos y la baja madurez de sus prácticas de ciberseguridad.

### 5. Medidas de Mitigación y Recomendaciones

Para protegerse frente a esta amenaza, se recomienda:

– **Desactivar la ejecución automática de scripts Python en Blender:** Limitar la ejecución de código embebido a archivos de confianza verificada.
– **Implementar soluciones EDR y antimalware avanzadas:** Monitorizar la ejecución de procesos asociados a Blender y Python en endpoints.
– **Validar la procedencia de los archivos .blend:** Evitar la descarga de modelos desde fuentes no verificadas o sin reputación previa.
– **Segmentación de redes:** Separar los entornos de diseño de los sistemas críticos de la organización.
– **Concienciación y formación:** Instruir a los equipos creativos sobre los riesgos de la apertura de recursos de terceros.
– **Monitorización de IoC:** Actualizar los sistemas SIEM y reglas de correlación con los últimos indicadores proporcionados por fuentes como VirusTotal e Intel 471.

### 6. Opinión de Expertos

Especialistas como Dmitry Bestuzhev (Threat Intelligence Advisor) advierten que “el aprovechamiento de aplicaciones de nicho, como Blender, demuestra una escalada en la sofisticación de los actores rusos, que buscan nuevas superficies de ataque menos defendidas”. Además, desde SOC Prime se destaca la importancia de la detección proactiva de scripts anómalos y la correlación de eventos inusuales en endpoints de diseñadores y artistas digitales.

### 7. Implicaciones para Empresas y Usuarios

La campaña subraya una tendencia creciente: los actores avanzados están ampliando su foco a sectores tradicionalmente desatendidos por la ciberseguridad. Las empresas deben considerar la gestión de la cadena de suministro digital, incluyendo plataformas de recursos creativos, como parte integral de su estrategia de gestión de riesgos. El incumplimiento de normativas como GDPR o NIS2 por filtraciones derivadas de este tipo de incidentes puede acarrear sanciones económicas superiores a los 20 millones de euros o el 4% de la facturación anual.

### 8. Conclusiones

La distribución de StealC V2 mediante archivos de Blender en marketplaces 3D marca un punto de inflexión en la diversificación de vectores de ataque. Los responsables de seguridad deben actualizar sus estrategias de defensa, involucrando a todos los departamentos y fomentando una cultura de ciberhigiene transversal. La colaboración entre equipos técnicos, jurídicos y creativos será clave para mitigar los riesgos y evitar el impacto económico y reputacional de este tipo de incidentes.

(Fuente: www.bleepingcomputer.com)