Hình 1. Tệp mã độc Blender

Bề mặt tấn công: Blender và cơ chế thực thi Python

Blender là phần mềm đồ họa 3D mã nguồn mở, hỗ trợ nhúng và thực thi script Python để tự động hóa quy trình thiết kế, render và quản lý scene. Trong nhiều quy trình làm việc thực tế, người dùng thường bật tùy chọn Auto Run Python Scripts để đảm bảo các asset phức tạp hoạt động đúng như thiết kế ban đầu.

Chiến dịch StealC V2 đã lợi dụng chính đặc điểm này bằng cách chèn mã Python độc hại trực tiếp vào tệp blend, thường được lưu trong vùng dữ liệu nội bộ như bpy[.]data[.]texts. Khi nạn nhân mở tệpBlender độc hại và tính năng tự động chạy script được bật, mã Python sẽ được thực thi ngay lập tức, không yêu cầu thêm tương tác từ người dùng. Điều này biến một tệp tài nguyên thiết kế tưởng như vô hại thành vector thực thi mã từ xa.

Chuỗi lây nhiễm đa giai đoạn

Phân tích các mẫu được ghi nhận cho thấy chuỗi lây nhiễm StealC V2 được thiết kế theo mô hình nhiều tầng, nhằm giảm khả năng bị phát hiện và tăng độ tin cậy của quá trình triển khai payload.

Hình 2. chuỗi lây nhiễm StealC V2

Ở giai đoạn đầu, script Python trong Blender chịu trách nhiệm kết nối tới một hạ tầng trung gian, thường được triển khai thông qua các dịch vụ hợp pháp như Cloudflare Workers. Việc sử dụng các nền tảng phổ biến này giúp che giấu nguồn tải mã độc và làm lưu lượng mạng trông giống hoạt động hợp pháp.

Tiếp theo, mã trung gian sẽ tải về và thực thi PowerShell loader, đóng vai trò là cầu nối giữa môi trường Blender và payload chính. Loader này chịu trách nhiệm tải các gói ZIP chứa StealC V2 và các thành phần phụ trợ, giải nén chúng vào thư mục tạm thời của hệ thống và thiết lập cơ chế duy trì thông qua tệp shortcut hoặc script khởi động cùng hệ điều hành.

Cuối cùng, StealC V2 được khởi chạy và bắt đầu liên lạc với hạ tầng máy chủ điều khiển và ra lệnh (C2), chuyển sang giai đoạn thu thập và trích xuất dữ liệu.

Khả năng thu thập và đánh cắp dữ liệu của StealC V2

StealC V2 là phiên bản mở rộng của dòng StealC, được thiết kế như một mã độc đánh cắp thông tin đa nền tảng ứng dụng. Các phân tích cho thấy mã độc này có khả năng thu thập dữ liệu từ số lượng lớn trình duyệt web hiện đại, bao gồm mật khẩu đã lưu, cookie xác thực, dữ liệu điền tự động và thông tin phiên đăng nhập. Việc đánh cắp cookie đặc biệt nguy hiểm do cho phép kẻ tấn công chiếm quyền truy cập tài khoản mà không cần vượt qua xác thực đa yếu tố.

Ngoài trình duyệt, StealC V2 còn nhắm tới các tiện ích mở rộng và ứng dụng ví tiền mã hóa, cùng với các ứng dụng liên lạc và VPN phổ biến. Điều này cho thấy mục tiêu của chiến dịch không chỉ dừng lại ở tài khoản cá nhân, mà còn hướng đến tài sản số và thông tin truy cập hệ thống, có thể được tái sử dụng trong các cuộc tấn công tiếp theo như xâm nhập mạng nội bộ hoặc tấn công mã độc tống tiền.

Một số khuyến nghị

Chiến dịch phát tán StealC V2 thông qua các tệp Blender bị lợi dụng để phát tán mã độc cho thấy sự thay đổi căn bản trong cách các tác nhân đe dọa lựa chọn bề mặt tấn công. Thay vì tập trung vào các vector truyền thống như email lừa đảo hoặc tệp thực thi rõ ràng, các tin tặc đã tận dụng các phần mềm hợp pháp, phổ biến và có mức độ tin cậy cao trong cộng đồng người dùng. Các công cụ sáng tạo như Blender, vốn được xem là an toàn và không liên quan trực tiếp đến an ninh thông tin, nay đã trở thành điểm khởi phát hiệu quả cho các chiến dịch mã độc nhờ khả năng nhúng và thực thi script.

Điều này phản ánh một xu hướng đáng chú ý: ranh giới giữa dữ liệu và mã thực thi đang ngày càng mờ nhạt. Các tệp dự án, asset và template, vốn được coi là dữ liệu thụ động có thể chứa logic thực thi và trở thành phương tiện triển khai mã độc nếu môi trường ứng dụng cho phép. Trong bối cảnh này, việc phân loại rủi ro dựa trên định dạng file hoặc loại phần mềm trở nên kém hiệu quả, đòi hỏi một cách tiếp cận đánh giá mối đe dọa dựa trên hành vi và ngữ cảnh sử dụng.

Khuyến nghị tiếp theo là cần đánh giá lại mô hình tin cậy đối với tài nguyên số từ bên ngoài. Các asset được tải về từ nền tảng chia sẻ nội dung, dù phổ biến và có uy tín, không thể mặc định được xem là an toàn. Việc thiếu các bước kiểm tra an ninh đối với file dự án và nội dung sáng tạo có thể tạo ra điểm yếu nghiêm trọng trong chuỗi phòng thủ, đặc biệt trong các môi trường làm việc sáng tạo nơi việc trao đổi tài nguyên diễn ra thường xuyên và nhanh chóng.

Ngoài ra, vai trò trung tâm ngày càng rõ nét của mã độc đánh cắp thông tin trong chuỗi tấn công hiện đại cho thấy mục tiêu của các chiến dịch không còn giới hạn ở phá hoại hay tống tiền ngay lập tức, mà hướng đến đánh cắp dữ liệu định danh và tài sản số để phục vụ các hoạt động tấn công dài hạn. Các dữ liệu bị rò rỉ từ một hệ thống cá nhân hoặc môi trường sáng tạo có thể trở thành bàn đạp cho các cuộc xâm nhập sâu hơn vào hạ tầng doanh nghiệp, gian lận tài chính hoặc triển khai mã độc ở quy mô lớn hơn trong tương lai.

Từ góc độ phòng thủ, bài học then chốt là chiến lược an ninh không thể chỉ tập trung vào các điểm kiểm soát truyền thống như email gateway hay quét tệp thực thi. Thay vào đó, cần mở rộng phạm vi bảo vệ sang toàn bộ hệ sinh thái phần mềm và nội dung số, bao gồm các ứng dụng sáng tạo, công cụ phát triển và tài nguyên dữ liệu có khả năng thực thi script. Việc kết hợp giám sát hành vi, kiểm soát quyền thực thi script và nâng cao nhận thức người dùng trong các lĩnh vực tưởng chừng “phi kỹ thuật” là yếu tố quyết định để giảm thiểu rủi ro trong bối cảnh mối đe dọa ngày càng linh hoạt và khó nhận diện.

Việc phát tán StealC V2 thông qua các tệp Blender bị cài mã độc là minh chứng rõ ràng cho xu hướng lợi dụng phần mềm hợp pháp và nội dung sáng tạo làm công cụ tấn công. Sự kết hợp giữa script tự động, hạ tầng hợp pháp và mã độc đa giai đoạn cho thấy mức độ linh hoạt ngày càng cao của các nhóm tội phạm mạng. Để đối phó hiệu quả với các mối đe dọa tương tự, các tổ chức và cá nhân cần chuyển từ cách tiếp cận dựa trên định dạng tệp sang phân tích hành vi và chuỗi thực thi, coi mọi tài nguyên số đều có thể trở thành điểm khởi phát của tấn công.