Il nostro Malware Lab ha condotto un’analisi prioritaria su un nuovo vettore di distribuzione malware che prende di mira gli utenti di Blender, sfruttando l’inclusione di script Python all’interno di file di progetto di Blender.
L’attenzione è stata inizialmente sollevata da una segnalazione pubblicata nel subreddit di Blender. Dopo aver contattato l’autore del post, è stato possibile acquisire un campione del file coinvolto, che sarebbe stato diffuso attraverso Fiverr, una delle principali piattaforme per il lavoro freelance.
L’analisi ha rivelato una catena d’attacco sofisticata e a più stadi, che sfrutta la funzionalità abilitata di default “Auto Run Python Scripts” di Blender per distribuire ed eseguire malware, e come vettore di infezione iniziale un modello 3D di Blender apparentemente innocuo.
Una ricerca preliminare ha evidenziato l’assenza di riferimenti al file nei database di VirusTotal, né erano presenti rilevamenti da parte dei principali motori antivirus.
Nonostante in passato siano emerse segnalazioni analoghe, ad oggi mancava un’analisi tecnica che ricostruisse in modo completo la catena d’attacco associata a file Blender compromessi. Per questo motivo, l’analisi e la stesura di questo report hanno ricevuto massima priorità da parte del team, con l’obiettivo di colmare un vuoto informativo e fornire alla comunità tecnico-scientifica un contributo tempestivo.
Se desideri approfondire ecco il link al nostro report completo.
Inoltre, puoi registrarti alla mailing list Cyber Studios by Tinexta Defence, per ricevere aggiornamenti sui prossimi report:
