Malicious Blender model files deliver StealC infostealing malware

2 minute de lecture

Mis à jour : November 25, 2025

Menace cachée dans les modèles 3D : le voleur d’informations StealC

Une campagne malveillante d’origine russe utilise des fichiers de modèles 3D créés avec Blender pour distribuer le logiciel malveillant StealC V2, un voleur d’informations. Ces fichiers compromis sont mis en ligne sur des plateformes de vente de modèles 3D.

Blender, un logiciel de création 3D open-source, permet l’exécution de scripts Python pour diverses automatisations. La fonction “Auto Run” de Blender, souvent activée par commodité, permet à des scripts malveillants intégrés dans les fichiers .blend de s’exécuter automatiquement à l’ouverture.

Les cybercriminels exploitent cette faille en hébergeant sur Cloudflare Workers un chargeur de malware, qui à son tour télécharge des scripts PowerShell. Ces derniers récupèrent des archives ZIP contenant les composants du StealC V2 et un autre module de vol d’informations python. Ces éléments sont ensuite placés dans le répertoire temporaire de l’utilisateur, tandis que des raccourcis sont ajoutés au répertoire de démarrage pour assurer la persistance du logiciel malveillant.

Le StealC V2, une évolution récente du malware, démontre des capacités accrues de vol de données, ciblant notamment :

Plus de 23 navigateurs (avec compatibilité pour Chrome 132+)
Plus de 100 extensions de portefeuille de cryptomonnaies et 15 applications de portefeuille
Des applications de messagerie et de communication comme Telegram, Discord, Tox, Pidgin
Des clients VPN (ProtonVPN, OpenVPN)
Des clients de messagerie comme Thunderbird

Le malware utilise également un mécanisme de contournement de l’UAC (User Account Control) mis à jour. Malgré sa documentation depuis 2023, les nouvelles versions de StealC échappent encore largement à la détection des solutions antivirus, aucune détection n’ayant été enregistrée sur VirusTotal pour la variante analysée par les chercheurs.

Points clés :

Distribution de malware via des fichiers Blender malveillants.
Exploitation de la fonction “Auto Run” de Blender.
Utilisation de Cloudflare Workers et de scripts PowerShell pour le chargement du malware.
StealC V2, un voleur d’informations sophistiqué avec des capacités étendues.
Faible taux de détection par les antivirus.

Vulnérabilités :

La fonction “Auto Run Python Scripts” dans Blender, lorsqu’elle est activée, permet l’exécution de code arbitraire. Aucune CVE spécifique n’est mentionnée dans l’article, mais le mécanisme d’exécution de scripts Python dans des fichiers de modèles 3D représente la surface d’attaque.

Recommandations :

Désactiver la fonction “Auto Run Python Scripts” dans Blender : Aller dans “Edit” > “Preferences” et décocher “Auto Run Python Scripts”.
Traiter les fichiers 3D comme des exécutables : Être prudent lors du téléchargement de fichiers depuis des plateformes de modèles 3D.
Ne faire confiance qu’aux éditeurs reconnus pour les modèles 3D.
Utiliser des environnements virtualisés (sandboxing) pour tester les fichiers dont la provenance est douteuse.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Malicious Blender model files deliver StealC infostealing malware

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast