AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Campaña maliciosa distribuye StealC V2 mediante modelos 3D gratuitos para Blender

admin

#### Introducción

En las últimas semanas, investigadores de ciberseguridad han identificado una campaña dirigida a profesionales y entusiastas del diseño 3D, mediante la distribución de modelos 3D gratuitos para Blender que contienen scripts maliciosos en Python. El objetivo de esta campaña es instalar la variante StealC V2, un infostealer avanzado, en los sistemas de las víctimas. Esta metodología pone en evidencia la creciente sofisticación de los actores de amenazas al aprovechar vectores de ataque poco convencionales y dirigidos a nichos técnicos concretos.

#### Contexto del Incidente

El ataque surge en un contexto de popularización del software de modelado 3D, especialmente Blender, una herramienta ampliamente utilizada en la industria de la animación, videojuegos y diseño gráfico. Durante 2024, se ha observado un incremento en la distribución de recursos gratuitos supuestamente legítimos a través de foros, marketplaces y repositorios de modelos 3D. Los atacantes han explotado esta tendencia, insertando scripts maliciosos en Python dentro de los archivos de modelos, aprovechando la funcionalidad nativa de Blender para ejecutar este tipo de código.

La campaña identificada se ha detectado principalmente en foros de recursos gratuitos y marketplaces poco regulados, aunque existen indicios de su propagación en plataformas de intercambio de archivos y grupos especializados en redes sociales.

#### Detalles Técnicos

La variante de malware utilizada, StealC V2, es un infostealer de última generación conocido por su modularidad y evasión de soluciones tradicionales de defensa. El vector de ataque se basa en la inclusión de scripts Python embebidos en archivos .blend, el formato nativo de Blender. Al abrir estos archivos en una instalación de Blender con ejecución de scripts habilitada, el código malicioso se ejecuta sin requerir interacción adicional por parte del usuario.

– **CVE y vectores:** Hasta el momento, no se ha asignado un CVE específico, ya que la campaña explota la funcionalidad legítima de Blender y no una vulnerabilidad del software en sí. El vector de ataque se clasifica como “Abuso de funcionalidad” (T1566.002, MITRE ATT&CK).
– **TTPs (Técnicas, Tácticas y Procedimientos):**
– **Entrega:** Ingeniería social, distribución de archivos .blend en repositorios y foros.
– **Ejecución:** Scripts Python embebidos en los archivos.
– **Persistencia y Exfiltración:** El script descarga y ejecuta StealC V2, que extrae credenciales, cookies y datos de portapapeles, enviándolos a servidores C2 controlados por los atacantes.
– **IoCs (Indicadores de Compromiso):**
– Hashes SHA256 de archivos .blend distribuidos.
– Dominios y direcciones IP de C2 asociados a StealC V2.
– Modificaciones en rutas típicas de almacenamiento de credenciales (browser data, wallets, etc.).

Los investigadores han detectado el uso de frameworks como Metasploit para la validación del payload y, en fases posteriores, la utilización de Cobalt Strike para movimientos laterales en caso de que el entorno atacado resulte de interés.

#### Impacto y Riesgos

La campaña representa un riesgo significativo tanto para usuarios particulares como para empresas que emplean Blender en sus flujos de trabajo, especialmente estudios de animación, desarrolladores de videojuegos y agencias de diseño. Se estima que al menos un 3% de los archivos de modelos 3D gratuitos analizados en los últimos dos meses contienen scripts sospechosos, con un crecimiento mensual del 15% en intentos de descarga de StealC V2 detectados por herramientas EDR.

El robo de credenciales, claves de acceso y datos personales puede facilitar ataques adicionales, como el compromiso de cuentas corporativas, suplantación de identidad y acceso no autorizado a información confidencial. El incidente puede derivar en violaciones del RGPD (Reglamento General de Protección de Datos) y NIS2, con sanciones económicas que pueden superar los 20 millones de euros o el 4% de la facturación anual de la empresa afectada.

#### Medidas de Mitigación y Recomendaciones

– **Restringir la ejecución automática de scripts en Blender**: Configurar Blender para que solicite confirmación antes de ejecutar cualquier script Python embebido.
– **Implementar soluciones EDR/antimalware** con capacidades de detección de scripts y análisis de comportamiento.
– **Bloquear IoCs** conocidos en proxys y firewalls perimetrales.
– **Formar a los usuarios** respecto a los riesgos de descargar recursos de fuentes no verificadas.
– **Auditoría periódica de logs** de acceso y actividad en estaciones de trabajo de diseño.
– **Aplicar el principio de mínimo privilegio** en los sistemas utilizados para tareas de diseño y modelado.

#### Opinión de Expertos

Especialistas en ciberseguridad, como Raúl Siles (ElevenPaths), destacan que este tipo de ataques son especialmente complejos de detectar dado que explotan flujos de trabajo legítimos y herramientas ampliamente aceptadas por la comunidad. «La modularidad de StealC V2 y su capacidad para camuflarse en procesos legítimos lo convierten en una amenaza persistente para entornos creativos y técnicos», señala Siles. Otros analistas del sector subrayan la necesidad de políticas de seguridad específicas para entornos de diseño y desarrollo, tradicionalmente menos protegidos que los sistemas corporativos estándar.

#### Implicaciones para Empresas y Usuarios

Este incidente revela la importancia de supervisar no sólo las aplicaciones empresariales críticas, sino también el software especializado utilizado por equipos creativos y técnicos. La distribución de malware a través de recursos aparentemente inocuos, como modelos 3D gratuitos, demuestra que cualquier punto de entrada puede ser explotado por actores maliciosos. Las empresas deben reevaluar sus políticas de ciberseguridad y considerar la protección integral de todos los departamentos, incluyendo aquellos considerados menos susceptibles.

#### Conclusiones

La campaña de distribución de StealC V2 a través de modelos 3D gratuitos para Blender representa una evolución significativa en las tácticas de los grupos de amenazas. La explotación de scripts Python embebidos en archivos de uso común requiere una respuesta proactiva por parte de los equipos de seguridad, que deben aplicar controles tanto técnicos como de concienciación para mitigar estos riesgos emergentes. La protección efectiva dependerá del equilibrio entre la seguridad operativa y la flexibilidad necesaria en entornos creativos y técnicos.

(Fuente: www.kaspersky.com)