過去にもBlenderデータにマルウェアが仕込まれている件がありましたが、今度はサイバー攻撃対策ソフトウェアを開発・販売しているMorphisecが、普通の3Dアセットに見せかけて .blend ファイルを悪用し、Blenderユーザーを標的にしたロシア関連の攻撃キャンペーンを確認したと報告しています。
今回使われていた .blend ファイルには Python スクリプトが仕込まれており、ファイルを開くと自動的にスクリプトが実行され、マルウェアがPCに侵入する仕組みになっていました。
発見されたマルウェアは 「StealC V2」と呼ばれ、感染するとパソコン内のブラウザ、ブラウザの拡張機能、仮想通過ウォレット、メッセンジャー、メールアプリ、VPN、チャットアプリなどからデータ情報を盗み出せるようになります。
Blenderでは .blend 内に Python を仕込むことができ、Auto Run Python Scripts(自動スクリプト実行機能)がオンの場合、ユーザーが開いた瞬間にコードが走るため、今回の攻撃で悪用されました。
今回はCGTraderのサイトで配布されていた.blendファイルに仕込まれていたとの事で、「.blend」ファイルをダウンロードする場合は誰がどこから提供しているのかを確認する事が非常に重要で、特に、Blenderの自動スクリプト実行機能のAuto Run Python ScriptsがONになっている場合は開かずに、オフにする事が安全対策として推奨されています。
今後も3Dモデル配布サイトを狙った攻撃が続く可能性があるため、アセットの利用時には十分注意してください。
