Sicherheitsforscher von Morphisec haben eine gezielte Malware-Kampagne gegen Blender-Anwender analysiert, bei der der Infostealer StealC V2 ueber manipulierte .blend-Dateien verbreitet wird. Die praepraierten Projekte werden auf grossen Marktplätzen fuer 3D-Modelle wie CGTrader angeboten und bedrohen damit ein breites Spektrum an 3D-Kuenstlern, Freelancern und Studios, die externe Assets in Produktions-Workflows einsetzen.
Gezielte Malware-Kampagne ueber 3D-Marktplätze und Blender-Projekte
Die Angreifer missbrauchen den Umstand, dass 3D-Marktplätze die Inhalte von Blender-Projekten nur begrenzt technisch pruefen koennen. Optisch hochwertige und scheinbar legitime 3D-Modelle koennen daher unbemerkt eingebetteten Schadcode enthalten. Im Ergebnis wird aus einem normalen Asset-Download ein verdeckter Supply-Chain-Angriff auf Kreativ- und Produktionsumgebungen.
Wie die Infektion ueber Blender-.blend-Dateien ablaeuft
Blender ist ein leistungsfaehiger Open-Source-3D-Editor, der in .blend-Dateien Python-Skripte einbetten und ausfuehren kann. Diese Funktionalitaet wird typischerweise fuer Automatisierung, individuelle GUI-Panels, Rigging oder Studio-spezifische Pipelines genutzt. Genau diese Flexibilitaet dient Angreifern nun als Einfallstor.
Missbrauch der Auto-Run-Funktion in Blender
Eine zentrale Rolle spielt die Option “Auto Run”, die beim Oeffnen eines Projekts eingebetteten Python-Code automatisch ausfuehrt. Viele Anwender aktivieren diese Funktion aus Komfortgruenden, etwa um Controller oder benutzerdefinierte Panels sofort bereitstellen zu lassen. Aus Sicherheitssicht wird damit jedoch jede .blend-Datei faktisch zu einer ausfuehrbaren Datei.
In der analysierten Kampagne enthalten die angebotenen Blender-Projekte schadhaften Python-Code, der beim Oeffnen des Files ohne weitere Rueckfrage startet. Das Skript kontaktiert zunaechst einen von den Angreifern kontrollierten Dienst auf Basis von Cloudflare Workers und laedt einen Zwischen-Loader nach. Dieser wiederum zieht einen PowerShell-Skript-Loader nach, der von der Infrastruktur der Angreifer zwei ZIP-Archive mit den Namen ZalypaGyliveraV1 und BLENDERX herunterlaedt.
Die Archive werden in das temporäre Verzeichnis %TEMP% entpackt. Anschliessend erzeugt das Skript LNK-Verknuepfungen im Autostart-Ordner von Windows, um Persistenz zu erreichen. Damit wird sichergestellt, dass der Schadcode bei jedem Systemstart automatisch ausgefuehrt wird. Im finalen Schritt werden zwei Payloads ausgerollt: der eigentliche Infostealer StealC sowie ein zusaetzlicher Python-basierter Stealer als Fallback-Kanal fuer die Datendiebstahl-Operationen.
StealC V2: moderner Infostealer mit Fokus auf Zugangsdaten
Die Kampagne setzt auf die aktuelle Variante von StealC V2, die zuvor unter anderem von Zscaler analysiert wurde. StealC ist ein spezialisierter Infostealer, dessen Haptzweck in der spurenarmen Exfiltration sensibler Informationen von kompromittierten Systemen besteht. Die Malware verfuegt ueber ein modular aufgebautes Design, das verschiedene Datentypen gezielt erfasst.
Nach derzeitigen Analysen konzentriert sich StealC V2 insbesondere auf die Abgreifung von:
- Anmeldedaten und Cookies aus gaengigen Browsern,
- Daten aus lokalen Krypto-Wallets und Browser-Wallet-Erweiterungen,
- gespeicherten Passwoertern, Session-Tokens und Auto-Fill-Eintraegen,
- ggf. Tokens und Zugangsdaten aus Messengern und anderen Desktop-Anwendungen.
Geringe Erkennungsrate und Umgehung von Schutzmechanismen
Morphisec berichtet, dass die untersuchte StealC-Variante zum Zeitpunkt der Analyse von keinem Produkt auf VirusTotal erkannt wurde. Dies deutet auf den Einsatz moderner AV-Evasion-Techniken hin, etwa starke Code-Obfuskation, dynamisches Nachladen von Modulen sowie eine Reduktion auffaelliger Aktionen bis unmittelbar vor der Datenexfiltration.
Zusaetzlich verfuegt StealC V2 ueber einen weiterentwickelten Mechanismus zum Umgehen der Benutzerkontensteuerung (UAC), um Aktionen mit erweiterten Rechten auszufuehren. Solche Techniken erschweren nicht nur die Erkennung durch klassische Virenscanner, sondern machen den Stealer auch in Unternehmensumgebungen mit eingeschraenkten Nutzerrechten besonders gefaehrlich.
3D-Assets als unterschätzter Angriffsvektor
Die Kampagne unterstreicht, dass 3D-Assets und Projektdaten als potenziell ausfuehrbarer Code behandelt werden muessen, sobald sie eingebettete Skriptfunktionen bieten. Aehnlich wie bei Office-Makros oder Skripten in Adobe-Projekten besteht auch bei .blend-Dateien mit Python-Unterstuetzung ein erhebliches Sicherheitsrisiko, wenn diese aus unbekannten oder unpruefbaren Quellen stammen.
Marktplätze wie CGTrader koennen den in Blender-Projekten verborgenen Python-Code vor der Publikation nur eingeschraenkt untersuchen. Damit bleibt es in hohem Masse der Verantwortung von Studios, Freelancern und IT-Teams ueberlassen, geeignete Sicherheitsmassnahmen zu implementieren und einzelne Assets vor dem produktiven Einsatz kritisch zu pruefen.
Security-Empfehlungen fuer Blender-Nutzer, 3D-Studios und Unternehmen
1. Auto Run standardmaessig deaktivieren. Die automatische Ausfuehrung von Python-Skripten in Blender sollte nur fuer explizit vertrauenswuerdige Projekte aktiviert werden, etwa interne Studio-Assets oder Pakete etablierter Anbieter. Fuer alle anderen Downloads sollte Auto Run deaktiviert bleiben.
2. Isolierte Umgebungen fuer externe Assets. Neue oder unbekannte .blend-Dateien sollten zunaechst in einer virtuellen Maschine, einem Container oder auf einer dedizierten Workstation ohne Zugriff auf sensible Daten geoeffnet werden. So laesst sich das Risiko einer Kompromittierung der Produktivumgebung deutlich reduzieren.
3. Projekte auf eingebettete Skripte und Netzwerkzugriffe pruefen. Bei Unklarheiten sollten Security-Teams oder technisch versierte Artists die Projektstruktur auf ungewoehnliche Add-ons, eingebettete Skripte und externe Netzwerkaufrufe untersuchen. Jegliche unerwartete Internetkommunikation beim Laden einer Blender-Datei ist ein ernstes Warnsignal.
4. PowerShell-Nutzung einschränken und ueberwachen. In Unternehmensumgebungen empfiehlt sich eine Härtung von PowerShell ueber Gruppenrichtlinien, erweiterte Logging-Funktionen sowie der Einsatz von EDR-Loesungen, die auffaellige Skriptaktivitaeten und Prozessketten erkennen koennen.
5. Security-Awareness im 3D-Team staerken. 3D-Artists, Animatorinnen und technische Designer sollten regelmaessig daran erinnert werden, 3D-Modelle und Projektdateien wie potenziell gefaehrliche Programme zu behandeln. Schulungen zu typischen Angriffsmustern – einschliesslich Malware in Plugins, Add-ons und Assets – sind hier ein zentraler Baustein.
Die aktuelle StealC-V2-Kampagne zeigt, wie gezielt Angreifer kreative Werkzeuge wie Blender ins Visier nehmen, um über scheinbar harmlose Assets Zugang zu Systemen und sensiblen Konten zu erhalten. Organisationen und Einzelanwender, die mit 3D-Inhalten arbeiten, sollten ihre Sicherheitsrichtlinien anpassen, Auto-Run-Funktionen kritisch ueberpruefen und isolierte Testumgebungen fuer externe Assets etablieren. Wer 3D-Projekte konsequent als potenziellen Code behandelt und technische wie organisatorische Schutzmassnahmen kombiniert, reduziert das Risiko erheblich, dass eine einfache 3D-Datei zur Eintrittspforte fuer umfassende Kompromittierungen wird.
