يستغل مجرمو الإنترنت ملفات برنامج بلندر، وهو برنامج تصميم ثلاثي الأبعاد مفتوح المصدر، لتوصيل برامج تجسس خطيرة، وفقًا لأحدث التقارير الأمنية. وقد اكتشف الباحثون الأمنيون حملة تجسس تستهدف المصممين والمبدعين عبر الإنترنت، حيث يقوم المهاجمون بإدراج نصوص برمجية ضارة في ملفات يمكن مشاركتها ضمن مجتمع التصميم، مما يهدد بانتشار واسع النطاق.
الهجوم الجديد يستهدف المستخدمين على أنظمة التشغيل ويندوز وماك ولينكس، وهو نشط منذ ما لا يقل عن ستة أشهر. ويشير التحقيق إلى وجود صلات بحملات سابقة مرتبطة بروسيا، والتي استخدمت أساليب خداع وثائق مشابهة. الهدف الأساسي لهذه الملفات المخترقة هو سرقة معلومات حساسة من أجهزة الضحايا، بما في ذلك كلمات المرور، محافظ العملات المشفرة، ومعلومات المصادقة من متصفحات وتطبيقات متعددة.
حملة استغلال برامج بلندر
تُظهر هذه الحملة كيف يتكيف المهاجمون باستمرار مع تكتيكاتهم لاستهداف المستخدمين غير المتعمدين. وبحسب باحثي الأمن في مورفيسيك، تم تتبع هذه الحملة بعد تحليل سلسلة الإصابة والبنية التحتية للقيادة والتحكم. وقد كشف البحث عن ارتباطات مباشرة بـ StealC V2، وهو برنامج تجسس معلوماتي خطير اكتسب شعبية متزايدة في الأسواق السوداء الإلكترونية منذ ظهوره.
يُعد برنامج بلندر أداة أساسية للمحترفين والهواة في مجال التصميم ثلاثي الأبعاد نظرًا لقدراته القوية وكونه مجانيًا. وهذا يجعل التهديد الذي تشكله هذه الثغرة الأمنية ذا أهمية خاصة لصناعة الإبداع الرقمي.
آلية الإصابة والتسلل
عندما يفتح المستخدمون ملف .blend مشفر ببرنامج بلندر مع تمكين خيار “تشغيل النصوص البرمجية تلقائيًا” (Auto Run Python Scripts)، يتم تنفيذ النص البرمجي الضار Rig_Ui.py بشكل آلي.
بعد ذلك، يقوم البرنامج الخبيث بجلب برنامج تحميل PowerShell من خوادم بعيدة يتحكم بها المهاجمون. يقوم هذا البرنامج بتحميل ملفات أرشيف متعددة تحتوي على بيئة Python كاملة، مجهزة مسبقًا بـ StealC V2 ومكونات إضافية لجمع المعلومات.
يتم إنشاء ملفات اختصار مخفية (LNK) ونسخها إلى مجلد بدء التشغيل في ويندوز، مما يضمن استمرار البرمجيات الخبيثة عبر عمليات إعادة تشغيل النظام.
تتضمن سلسلة الهجوم مراحل متعددة من التمويه، وتستخدم قنوات اتصال مشفرة. تقوم نصوص Python البرمجية بتنزيل حمولات مشفرة باستخدام تشفير ChaCha20 عبر البنية التحتية الهرمية للقيادة والتحكم، مما يجعل الكشف والتحليل أكثر صعوبة.
يستهدف StealC V2 بشكل مباشر أكثر من 23 متصفح ويب، وأكثر من 100 إضافة للمتصفحات، و 15 محفظة عملات مشفرة سطح المكتب، وتطبيقات المراسلة مثل Telegram و Discord، بالإضافة إلى عملاء VPN.
يتضمن برنامج التجسس تقنيات محدثة لرفع الامتيازات، ويحافظ على معدلات كشف منخفضة على منصات التحليل الأمني، مما يسمح له بالتهرب من الحلول الأمنية التقليدية.
لذلك، ينبغي على المستخدمين تعطيل ميزة التشغيل التلقائي في برنامج بلندر للمصادر غير الموثوقة، وتوخي الحذر عند تنزيل النماذج ثلاثية الأبعاد من منصات المجتمع.