StealC: Tehditin Boyutu
Son dönemde özellikle Rusya ile bağlantılı bir grup, 3D model pazaryerlerine yüklenen zararlı Blender dosyaları aracılığıyla StealC V2 bilgileri çalan malware’yi yaymaya başladı. Bu saldırılar, kullanıcıların Blender’ı kullanırken karşılaşabileceği tehlikelerin boyutunu gözler önüne seriyor.
Blender Nedir ve Nasıl Çalışır?
Blender, açık kaynaklı bir 3D yaratım setidir. Kullanıcıların Python betikleri çalıştırmasına olanak tanıyarak otomasyon, özel kullanıcı arayüzü panelleri, eklemeler ve render süreçleri gibi çeşitli işlevleri yerine getirmesine yardımcı olur. Ancak, Auto Run özelliği etkinleştirildiğinde, kullanıcı bir karakter rig’ini açtığında Python betiği otomatik olarak çalışabilmektedir.
Auto Run Özelliğinin Tehlikesi
Kullanıcılar çoğu zaman bu özelliği kullanım kolaylığı için etkinleştirmektedir. Ancak bu durum, kötü niyetli kişilerin Blender dosyalarına gömülü Python kodları ile sistemlerini ele geçirmelerine olanak tanımaktadır.
Saldırı Şeması ve Yöntemleri
Ciber güvenlik firması Morphisec’in araştırmaları, .blend dosyalarının zararlı yazılımlar içerdiğini ve Cloudflare Workers alanından malware yükleyici bir script çektiğini gözler önüne sermektedir. Bu yükleyici, bir PowerShell scripti aracılığıyla, saldırgan tarafından kontrol edilen IP’lerden iki ZIP arşivini indirir.
ZIP dosyaları, %TEMP% klasörüne açılır ve sürekli kalıcılık için Başlangıç dizinine LNK dosyaları yerleştirir. Ardından, StealC infostealer ve bir yardımcı Python stealer’ı yükler. Bu durum, kullanıcıların gizlilik ve güvenlik riskleri ile yüzleşmesine neden olur.
Zararlı Yazılımın Kapsamı
Morphisec’in raporuna göre, StealC malware’inin en son sürümü, daha kapsamlı veri çalma yeteneklerine sahip. Bu yeni sürüm, şu alanlardan bilgileri çalabilme kapasitesine sahip:
- 23’ten fazla tarayıcı, sunucu tarafı kimlik bilgisi şifre çözme ile Chrome 132+ ile uyumlu
- 100’den fazla kripto para cüzdanı tarayıcı eklentisi ve 15’ten fazla kripto para cüzdanı uygulaması
- Telegram, Discord, Tox, Pidgin, VPN istemcileri (ProtonVPN, OpenVPN) ve mail istemcileri (Thunderbird)
Ne Yapmalısınız?
3D model pazaryerlerinin, kullanıcıların yüklediği dosyaların kodlarına dikkat edememesi sebebiyle, Blender kullanıcılarının dikkatli davranmaları önem taşır. Kullanıcıların, kodların otomatik çalışmasını devre dışı bırakmaları önerilmektedir. Bunu, Blender > Düzenle > Tercihler bölümünden ‘Python Betiklerini Otomatik Çalıştır’ seçeneğini kaldırarak yapabilirler.
3D varlıklar, çalıştırılabilir dosyalar gibi değerlendirilmelidir. Sadece güvenilir yazarların ürünlerine güvenmek önemlidir. Diğer durumlarda, test etmek için sandbox (kapsama) ortamları kullanılması önerilmektedir.
