Credit image: Freepix
Blender Bukan Sembarang Blender Bisa Tanam Malware – Operasi siber yang diduga terkait dengan Rusia kini menggunakan metode serangan yang cerdik.
Yaitu mengirimkan malware pencuri informasi StealC V2 melalui file Blender berbahaya yang diunggah ke marketplace model 3D populer, seperti CGTrader.
Serangan ini menyoroti bagaimana pelaku ancaman terus mengeksploitasi fitur fungsionalitas aplikasi yang sah untuk tujuan jahat.
Memanfaatkan Fitur “Auto Run Python” Blender
Blender adalah suite kreasi 3D open-source yang sangat kuat dan banyak digunakan. Aplikasi ini memiliki kemampuan untuk mengeksekusi skrip Python untuk berbagai tujuan, seperti otomatisasi, add-on, dan pembuatan interface kustom.
Demi kenyamanan, pengguna sering kali mengaktifkan fitur ‘Auto Run Python Scripts’. Fitur ini memungkinkan skrip Python untuk dimuat secara otomatis.
Yakni saat pengguna membuka file Blender (misalnya, saat membuka rig karakter), yang akan langsung memuat kontrol wajah atau panel UI kustom.
|
Baca juga: Aplikasi Konferensi Video Pencuri Informasi |
Meskipun fitur ini dimaksudkan untuk mempermudah alur kerja, kerentanan terjadi ketika pengguna mengunduh file model 3D (ekstensi .blend) yang disusupi.
Para peneliti di perusahaan keamanan siber mengamati serangan yang menggunakan file .blend berbahaya dengan kode Python tertanam yang:
- Mengambil Loader: Kode Python di dalam file akan mengambil malware loader dari domain yang dikendalikan penyerang (menggunakan layanan seperti Cloudflare Workers).
- Menarik Payload: Loader kemudian mengambil skrip PowerShell. Skrip ini bertugas mengambil dua arsip ZIP, bernama ZalypaGyliveraV1 dan BLENDERX, dari alamat IP yang dikendalikan penyerang.
Arsip-arsip tersebut dibongkar ke dalam folder %TEMP% dan menjatuhkan file LNK di direktori Startup untuk memastikan malware tetap aktif (persistence) setelah perangkat di-restart.
Selanjutnya, payload utama disebar: pencuri informasi StealC dan pencuri Python tambahan, kemungkinan digunakan sebagai redundansi.
StealC V2 Pencuri Informasi Kelas Atas
Malware StealC yang digunakan dalam kampanye ini merupakan varian terbaru dari versi kedua malware tersebut, yang telah didokumentasikan sejak tahun 2023.
Namun, rilis terbarunya telah memperluas kemampuan pencurian datanya secara signifikan dan telah menjadi salah satu pencuri informasi yang paling serbaguna:
Peningkatan Kemampuan Eksfiltrasi:
- Browser: Mendukung eksfiltrasi dari lebih dari 23 browser, dengan dekripsi kredensial sisi server dan kompatibilitas hingga Chrome versi 132+.
- Dompet Kripto: Mampu mencuri data dari lebih dari 100 ekstensi browser dompet cryptocurrency dan lebih dari 15 aplikasi dompet cryptocurrency mandiri.
- Aplikasi Pesan & Klien VPN: Mencuri informasi dari Telegram, Discord, Tox, Pidgin, klien VPN (seperti ProtonVPN dan OpenVPN), serta klien email (seperti Thunderbird).
Selain itu, StealC V2 telah memperbarui mekanisme UAC bypass (User Account Control bypass) untuk beroperasi dengan lebih leluasa di sistem operasi Windows.
|
Baca juga: Bisnis Pencurian Informasi |
Kesulitan Deteksi dan Langkah Pencegahan
Yang mengkhawatirkan, meskipun malware ini sudah didokumentasikan, rilis-rilis berikutnya tampaknya tetap luput dari deteksi produk antivirus tradisional.
Para peneliti mencatat bahwa tidak ada mesin keamanan di VirusTotal yang mendeteksi varian StealC yang mereka analisis, menunjukkan betapa canggihnya teknik penyembunyian yang digunakan.
Mengingat marketplace model 3D tidak dapat memeriksa secara mendalam kode yang disematkan dalam file yang dikirimkan pengguna, pengguna Blender sangat disarankan untuk berhati-hati:
- Nonaktifkan ‘Auto Run Python Scripts’: Ini adalah langkah mitigasi paling penting. Pengguna dapat menonaktifkan fitur ini melalui: Blender > Edit > Preferences > hapus centang pada opsi ‘Auto Run Python Scripts’.
- Perlakukan Aset 3D sebagai Executable: File model 3D kini harus diperlakukan seperti file yang dapat dieksekusi. Hanya percayai publisher dengan rekam jejak yang terbukti baik.
- Gunakan Lingkungan Sandbox: Untuk file yang bersumber dari platform yang kurang tepercaya, sangat disarankan untuk membukanya di lingkungan sandbox atau mesin virtual untuk pengujian.
Serangan StealC V2 ini menegaskan bahwa setiap alat kreasi yang memiliki kemampuan skrip (seperti Blender, atau bahkan macro di file Office) dapat dimanfaatkan menjadi vektor serangan rantai pasokan.
Sumber berita:
