Siber güvenlik dünyasında tehdit aktörleri, kurbanlarına ulaşmak için her geçen gün daha yaratıcı ve beklenmedik yöntemler geliştiriyor. Son dönemde ortaya çıkan ve Rusya bağlantılı olduğu tespit edilen yeni bir saldırı kampanyası, özellikle 3D tasarımcıları, animatörleri ve oyun geliştiricilerini hedef alıyor. Popüler açık kaynaklı 3D modelleme yazılımı Blender, siber suçluların yeni silahına dönüşmüş durumda.
Siber güvenlik araştırmacıları tarafından yapılan analizlere göre, saldırganlar masum görünen .blend dosyalarının içine gizledikleri kötü amaçlı Python kodları aracılığıyla, gelişmiş bir bilgi hırsızı (infostealer) olan StealC zararlısını yayıyorlar. Bu durum, özellikle CGTrader gibi popüler 3D model pazar yerlerinden hazır model indiren kullanıcılar için büyük bir risk oluşturuyor.
Saldırı Nasıl Gerçekleşiyor? “Kolaylık” Tuzağa Dönüşüyor
Blender, kullanıcıların iş akışlarını hızlandırmak için Python scriptlerini otomatik olarak çalıştırma özelliğine sahiptir. “Auto Run Python Scripts” (Python Komutlarını Otomatik Çalıştır) adı verilen bu özellik, normal şartlarda bir karakter modelini yüklediğinizde, karakterin yüz kontrollerinin veya özel arayüz panellerinin otomatik olarak ekrana gelmesini sağlar. Bu, tasarımcılar için büyük bir kolaylıktır. Ancak saldırganlar, tam olarak bu “kolaylığı” bir arka kapı olarak kullanıyor.
Saldırı zinciri şu adımlarla ilerliyor:
- Zararlı Dosyanın İndirilmesi: Kullanıcı, güvenilir görünen bir kaynaktan (örneğin bir pazar yerinden) enfekte olmuş bir
.blenddosyası indirir ve açar. - Kodun Tetiklenmesi: Eğer Blender ayarlarında “Otomatik Çalıştırma” aktifse, dosya açılır açılmaz içine gömülü olan
Rig_Ui.pygibi masum isimli bir Python scripti arka planda çalışmaya başlar. - Yükleyici İndirme: Script, güvenlik duvarlarını aşmak için genellikle güvenilir kabul edilen Cloudflare Workers alan adlarına bağlanır ve buradan bir malware yükleyicisi (loader) çeker.
- PowerShell Devrede: İndirilen yükleyici, bir PowerShell komutu çalıştırarak saldırganın kontrolündeki sunuculardan şifreli ZIP dosyalarını (
ZalypaGyliveraV1veBLENDERX) bilgisayara indirir. - Nihai Darbe: Bu arşivler
%TEMP%klasörüne çıkarılır ve sistem başlangıcına (Startup) yerleşerek kalıcılık sağlar. Son aşamada StealC ve yardımcı bir Python hırsızı sisteme bulaşmış olur.
StealC Zararlısının Teknik Özellikleri ve Hedefleri
Morphisec araştırmacılarına göre, bu saldırıda kullanılan StealC varyantı oldukça gelişmiş yeteneklere sahip. Özellikle antivirüs yazılımlarından kaçınma konusunda başarılı olan bu zararlı, sisteminizdeki hemen hemen tüm değerli verileri hedef alıyor.
Aşağıdaki tabloda, bu zararlının teknik detaylarını ve hedeflediği uygulamaları inceleyebilirsiniz:
| Özellik | Detay ve Açıklama |
|---|---|
| Zararlı Türü | StealC v2 (Information Stealer – Bilgi Hırsızı) |
| Bulaşma Kaynağı | 3D model pazar yerleri (Örn: CGTrader), Forumlar |
| Kritik Dosya İsimleri | Rig_Ui.py, ZalypaGyliveraV1.zip, BLENDERX.zip |
| Tarayıcı Hedefleri | Chrome (Sürüm 132+ dahil), Firefox, Edge, Opera ve 20+ diğer tarayıcı |
| Kripto Varlıklar | 15+ Masaüstü Cüzdan Uygulaması, 100+ Tarayıcı Eklenti Cüzdanı |
| İletişim Uygulamaları | Discord, Telegram, Tox, Pidgin (Oturum tokenlarını çalar) |
| Diğer Hedefler | VPN İstemcileri (ProtonVPN, OpenVPN), E-posta İstemcileri (Thunderbird) |
Neden Blender Hedef Alınıyor?
Bu saldırının en kurnazca yönü, hedef kitlesinin donanım profilidir. Blender kullanıcıları, işleri gereği genellikle yüksek performanslı GPU’lara (Ekran Kartlarına) ve güçlü işlemcilere sahip bilgisayarlar kullanırlar. Bu bilgisayarlar, siber suçlular için “yüksek değerli” hedeflerdir. Ayrıca, 3D sanatçıları genellikle “Sandbox” (Yalıtılmış ortam) kullanmazlar çünkü render işlemleri için donanımın tam gücüne doğrudan erişime ihtiyaç duyarlar. Saldırganlar, bu kullanıcıların güvenlik önlemlerinin, kurumsal ağlara kıyasla daha gevşek olabileceğini biliyor.
Nasıl Korunursunuz?
Bu tehditten korunmanın en etkili yolu, Blender’ın o çok sevilen “otomatik” özelliğini devre dışı bırakmaktır. Kaynak ne kadar güvenilir görünürse görünsün, internetten indirdiğiniz bir dosyanın sizin adınıza kod çalıştırmasına izin vermemelisiniz.
Güvenlik Adımları:
- Otomatik Çalıştırmayı Kapatın:
- Blender’ı açın.
- Üst menüden Edit (Düzenle) > Preferences (Tercihler) yolunu izleyin.
- Save & Load (Kaydet & Yükle) sekmesine tıklayın.
- Burada bulunan “Auto Run Python Scripts” seçeneğindeki işareti KALDIRIN.
- Dosyaları Kontrol Edin: İndirdiğiniz
.blenddosyasını açtığınızda Blender size “Bu dosyada scriptler var, çalıştırmak istiyor musunuz?” diye soracaktır. Dosyanın kaynağına %100 güvenmiyorsanız “Don’t Allow” (İzin Verme) seçeneğini seçin. - Sistem Taraması: Eğer yakın zamanda üçüncü parti sitelerden model indirdiyseniz, güncel bir antivirüs yazılımı ile tam sistem taraması yapın ve
%TEMP%klasörünüzü kontrol edin.
Saldırının Boyutu ve Etkileri
Morphisec’in raporuna göre, bu kampanya en az altı aydır aktif durumda. Saldırganların özellikle Rusya merkezli olduğu ve daha önce Albion Online oyuncularını hedef alan sahte kampanyalarla da bağlantılı oldukları belirtiliyor. Zararlının VirusTotal gibi platformlarda tespit edilme oranının düşük olması, tehdidin ne kadar sinsi olduğunu gösteriyor. Kullanıcıların, özellikle “bedava model” vaat eden şüpheli linklere ve dosyalara karşı ekstra dikkatli olması gerekiyor.
Techneiro Analizi
Bu saldırı vektörü, siber suçluların “niş” topluluklara yöneldiğinin en net göstergelerinden biridir. Genellikle oltalama (phishing) saldırıları milyonlarca kişiye rastgele e-posta atılarak yapılırken, bu saldırı doğrudan “yüksek donanımlı bilgisayar sahibi” olan spesifik bir kitleyi, yani 3D sanatçılarını hedefliyor.
Saldırganların Blender’ın “Auto Run” özelliğini istismar etmesi, yazılım dünyasındaki “kullanım kolaylığı vs. güvenlik” ikilemini yeniden gündeme getiriyor. Yazılım geliştiriciler, kullanıcı deneyimini iyileştirmek için otomasyon özelliklerini varsayılan olarak açık tutma eğilimindedir, ancak bu olayda görüldüğü gibi, bu özellikler en büyük güvenlik açığına dönüşebilir. Gelecekte, Adobe Creative Cloud eklentileri veya oyun motoru (Unreal/Unity) varlıkları (assets) üzerinden benzer saldırıların artmasını bekleyebiliriz. Özellikle üretken yapay zeka ile oluşturulan sahte profiller ve sahte olumlu yorumlarla, pazar yerlerindeki zararlı dosyaların “güvenilir” gibi gösterilmesi çok daha kolay hale gelecektir.
