حقائق سريعة

• يتم نشر برنامج StealC V2 الخبيث من خلال ملفات Blender 3D المصابة على الأسواق الرقمية الشهيرة.
• يستغل المهاجمون ميزات البرمجة النصية بلغة بايثون والتنفيذ التلقائي في Blender لإطلاق برمجياتهم الخبيثة.
• يستهدف البرنامج الخبيث بيانات الاعتماد من المتصفحات ومحافظ العملات الرقمية وتطبيقات الدردشة وغيرها.
• يمكن لـ StealC V2 تجاوز اكتشاف برامج مكافحة الفيروسات وضوابط أمان ويندوز.
• ينصح الخبراء بتعطيل التنفيذ التلقائي والتعامل مع موارد 3D كملفات تنفيذية خطيرة محتملة.

المشهد: حصان طروادة في سوق ثلاثي الأبعاد

تخيل أنك تقوم بتنزيل شخصية ثلاثية الأبعاد مصممة بشكل جميل لمشروعك القادم في الرسوم المتحركة، لتكتشف أنك أدخلت لصاً رقمياً إلى جهازك. هذه هي الحقيقة المرعبة للفنانين والاستوديوهات التي تستخدم Blender 3D، حيث يحول المهاجمون الإبداع إلى برمجيات خبيثة غير مرئية، مختبئة داخل الملفات المتداولة في الأسواق الموثوقة.

دليل StealC V2: من السوق إلى البرمجيات الخبيثة

كشف باحثو Morphisec مؤخراً عن حملة خبيثة متخفية يقوم فيها مجرمو الإنترنت بزرع برنامج StealC V2 لسرقة المعلومات داخل ملفات Blender بامتداد .blend، ثم رفعها إلى أسواق الأصول ثلاثية الأبعاد المرموقة مثل CGTrader. يتيح Blender، المحبوب من قبل المبدعين لمرونته ومصدره المفتوح، للمستخدمين أتمتة المهام وتخصيص الواجهات باستخدام سكريبتات بايثون مدمجة. للأسف، يمكن إساءة استخدام هذه الميزة لتشغيل أكواد خبيثة بمجرد أن يفتح المستخدم ملفاً مصاباً - خاصة إذا كان التنفيذ التلقائي في Blender مفعلاً لسهولة الاستخدام.

بمجرد فتح ملف .blend المصاب، يتصل سكريبت بايثون مخفي بخادم بعيد باستخدام Cloudflare Workers، ويقوم بتنزيل حمولات إضافية عبر PowerShell، ثم يضع أرشيفين مضغوطين - ZalypagyliveraV1 وBLENDERX - في ملفات الضيف المؤقتة. تقوم هذه الأرشيفات بفك نفسها، وإنشاء اختصارات لضمان البقاء، وتسليم برنامجين خبيثين رئيسيين: برنامج StealC الرئيسي لسرقة المعلومات ونسخة احتياطية مبنية على بايثون.

لماذا يعتبر StealC V2 خطيراً جداً

StealC V2 ليس مجرد لص رقمي عادي. الإصدار الأخير، الذي تم تحليله من قبل Zscaler وآخرين، مزود بأدوات لسرقة البيانات من أكثر من 23 متصفحاً (بما في ذلك أحدث إصدار من Chrome)، وأكثر من 100 إضافة لمتصفحات العملات الرقمية، وعدد كبير من محافظ سطح المكتب. كما يستهدف تطبيقات المراسلة والشبكات الافتراضية مثل Telegram وDiscord وProtonVPN وحتى عملاء البريد الإلكتروني مثل Thunderbird. وبفضل حيله المحدثة لتجاوز أمان ويندوز (UAC) وقدرته على التمويه عن برامج مكافحة الفيروسات - حيث وجدت Morphisec أن عيناته لم تُكتشف من قبل أي مزود على VirusTotal - يعد StealC V2 سيداً في التنكر والبقاء.

تعكس هذه الحملة هجمات سابقة استُغلت فيها مرونة برامج الإبداع - مثل إضافات Adobe أو Autodesk - لتهريب البرمجيات الخبيثة. لكن ما يجعل هذه الموجة أكثر خبثاً هو الثقة التي يضعها المستخدمون في الأصول الإبداعية المشتركة، والصعوبة التقنية التي تواجهها الأسواق في فحص الأكواد المدمجة داخل ملفات 3D المعقدة.

ثقة السوق: نقطة ضعف مستغلة

يعتمد سوق الأصول ثلاثية الأبعاد العالمي، الذي تبلغ قيمته مليارات الدولارات وينمو باستمرار، على التعاون والمشاركة. ومع ذلك، فإن هذا الانفتاح هو نقطة ضعفه الأساسية. على عكس البرمجيات التقليدية، غالباً ما تأتي النماذج ثلاثية الأبعاد مع سكريبتات لتسهيل التحريك أو تعديل الواجهات - وهي ميزات تصبح في الأيدي الخاطئة وسيلة مثالية للجريمة الإلكترونية. وحتى تصبح عمليات الفحص والتحقق من الأكواد معياراً، يُنصح المستخدمون بالتعامل مع موارد 3D كملفات تنفيذية خطيرة: لا تفتح الملفات إلا من منشئين موثوقين، عطّل التنفيذ التلقائي في Blender، وفكر في استخدام بيئات معزولة لاختبار الأصول الجديدة.

ويكي كروك

• Infostealer: برنامج خبيث مصمم لسرقة البيانات الحساسة - مثل كلمات المرور أو بطاقات الائتمان أو المستندات - من أجهزة الكمبيوتر المصابة دون علم المستخدم.
• Blender 3D: برنامج مجاني ومفتوح المصدر لإنشاء الرسومات والنماذج والرسوم المتحركة ثلاثية الأبعاد، ويستخدمه الفنانون ومطورو الألعاب على نطاق واسع.
• Python Script: سكريبت بايثون هو برنامج صغير مكتوب بلغة بايثون، غالباً ما يُستخدم لأتمتة المهام أو، في مجال الأمن السيبراني، لنشر البرمجيات الخبيثة أو اختبار الأمان.
• Auto: ميزة تقوم بتحديث إضافات المتصفح تلقائياً إلى أحدث إصدار، لضمان بقاء المستخدمين آمنين ومحدثين.
• Persistence: تقنيات يستخدمها البرنامج الخبيث للبقاء بعد إعادة التشغيل والبقاء مخفياً في النظام، غالباً عن طريق تقليد العمليات أو التحديثات الشرعية.