A nova campanha envolvendo malware StealC V2 acende um alerta crítico para artistas 3D, designers, desenvolvedores de jogos e qualquer pessoa que utiliza bibliotecas de modelos online. Criminosos estão explorando a confiança em arquivos .blend aparentemente legítimos para distribuir um dos ladrões de dados mais agressivos da atualidade.
Este artigo explica em detalhes como esses arquivos .blend maliciosos funcionam, como o malware StealC V2 é executado e, principalmente, como você pode configurar o Blender para impedir completamente que scripts automatizados sejam disparados sem sua permissão.
Com milhões de usuários em Linux, Windows e macOS, o Blender se tornou uma plataforma-chave para modelagem e animação, mas também um vetor atrativo para ataques que abusam de sua capacidade nativa de executar scripts Python incorporados em arquivos .blend, o que torna esse tipo de ameaça particularmente perigoso.
Detalhamento do ataque: como arquivos .blend se tornam maliciosos
Os arquivos .blend podem conter muito mais do que objetos 3D. Eles podem armazenar scripts Python, dados adicionais, referências externas e automações diversas. O recurso de execução automática de scripts permite que determinadas ações sejam disparadas assim que o arquivo é aberto, o que agiliza workflows legítimos, mas também abre uma porta perigosa. Criminosos estão inserindo scripts em modelos hospedados em plataformas populares de ativos 3D, o que faz com que usuários desavisados executem código malicioso simplesmente ao abrir o arquivo no Blender.
A cadeia de ataque do StealC V2
O fluxo de ataque documentado segue uma cadeia altamente estruturada que consiste em múltiplos estágios. Primeiro, o usuário baixa um arquivo .blend contendo um script Python obfuscado. Ao carregar o arquivo, esse script inicia o contato com um carregador externo que baixa e roda comandos adicionais. Em seguida, o carregador executa um script PowerShell (no Windows) ou equivalente em outros sistemas, responsável por puxar os payloads finais. Esses payloads incluem o StealC V2 e um ladrão auxiliar adicional, ampliando o impacto e aumentando a probabilidade de coleta de credenciais.
O resultado é que o simples ato de visualizar um ativo 3D se transforma em um vetor de infecção capaz de comprometer contas, carteiras, navegadores e serviços online do usuário.
O perigo do StealC V2 aprimorado
O StealC V2 é uma versão significativamente evoluída do já conhecido StealC, focado em roubo de informações sigilosas. Entre suas capacidades estão o furto de dados em mais de 23 navegadores, incluindo Chrome, Edge, Firefox e Brave, além de suporte ampliado para mais de 100 extensões e carteiras de criptomoedas. O malware também direciona clientes de chat como Telegram e Discord, capturando tokens de sessão e credenciais.
A taxa de detecção em serviços de análise como VirusTotal permanece baixa, já que os atacantes utilizam empacotadores e técnicas de evasão de análise. Isso significa que muitas vítimas podem estar sendo comprometidas sem qualquer alerta de seus antivírus.
Medidas de segurança essenciais: como proteger seus arquivos e dados no Blender
Para se proteger contra este tipo de ataque, é essencial adotar uma combinação de cautela, boas práticas e ajustes diretos nas configurações do Blender. Mesmo usuários avançados podem se surpreender com a facilidade com que um script pode ser embutido em um arquivo aparentemente inofensivo.
Desativando a execução automática de scripts (passo a passo)
A etapa mais importante é desativar por completo a execução automática de scripts Python, impedindo que qualquer arquivo .blend execute código sem sua autorização explícita. Siga o procedimento:
Blender > Editar > Preferências > Aba “Interface” ou “Sistema” (varia por versão) > desmarque a opção “Executar scripts Python automaticamente”.
Essa configuração obriga o Blender a pedir confirmação antes de executar qualquer script contido em um arquivo importado ou aberto. Mesmo que você baixe muitos modelos, texturas e rigs da internet, esta simples mudança reduz drasticamente o risco de infecção.
Além disso, é recomendável manter o Blender sempre atualizado, já que correções de segurança e melhorias internas frequentemente fortalecem as defesas da aplicação contra ameaças emergentes. Usuários que realizam renderização colaborativa ou recebem muitos arquivos de terceiros devem aplicar verificações adicionais, como abrir arquivos primeiro em um ambiente isolado, utilizar sandboxes ou inspecionar scripts manualmente antes da execução.
Conclusão e impacto
Os ataques envolvendo arquivos .blend maliciosos devem servir como um alerta para toda a comunidade criativa e técnica. Ativos 3D devem ser tratados como arquivos executáveis, e não apenas como recursos visuais, já que podem conter scripts capazes de comprometer todo o sistema do usuário.
Plataformas de mercado como CGTrader, Sketchfab e outros repositórios de modelos são amplamente utilizados e, por isso, atraentes para agentes maliciosos. A melhor defesa é a conscientização.
Verifique agora mesmo suas configurações no Blender, compartilhe este conteúdo com amigos e colegas e mantenha uma postura proativa de cibersegurança. Quanto mais pessoas souberem que arquivos .blend podem carregar ameaças como o malware StealC V2, menor será o impacto dessa campanha.
