Um trojan de acesso remoto (RAT) escrito em Python está sendo distribuído como “Nursultan Client”, versão modificada e crackeada do Minecraft popular entre jogadores da Rússia e da Europa Oriental. A ameaça foi identificada pela Netskope durante atividades de threat hunting e detalhada em relatório divulgado em 23 de outubro de 2025.
Como o ataque funciona
O executável de 68,5 MB foi criado com a ferramenta PyInstaller e, ao ser aberto, exibe uma interface de instalação que simula a configuração de um cliente legítimo. Enquanto a barra de progresso avança, o malware:
• tenta criar uma chave de registro para iniciar junto com o Windows;
• estabelece comunicação com um bot do Telegram já configurado;
• disponibiliza comandos que permitem ao invasor capturar tela, ativar webcam, abrir sites e coletar arquivos.
A técnica de inflar o tamanho do arquivo é usada para burlar verificações automáticas de soluções de segurança que ignoram executáveis grandes.
Foco no Discord
O componente principal vasculha pastas locais das versões Stable, PTB e Canary do Discord, além dos navegadores Chrome, Edge, Firefox, Opera e Brave, em busca de tokens de autenticação. Com esses dados, o atacante obtém acesso integral à conta da vítima, podendo enviar mensagens, acessar servidores privados e aplicar golpes de engenharia social.
Recursos de vigilância
Comandos como /info, /tokens, /screenshot e /camera podem ser acionados diretamente pelo Telegram. O primeiro reúne dados de hardware e rede; o segundo envia os tokens capturados; o terceiro tira uma captura de tela em tempo real; e o quarto aciona a webcam sem aviso.
O trojan também abre automaticamente URLs enviadas pelo invasor e exibe mensagens de texto ou imagens em janelas pop-up, expandindo o potencial de fraude ou chantagem.
Imagem: Internet
Persistência falha, mas perigo permanece
Por ter sido projetado para rodar como script e depois convertido em “onefile” pelo PyInstaller, o malware perde parte da persistência após a reinicialização do sistema. Apesar dessa limitação, permanece funcional enquanto a sessão estiver ativa, permitindo roubo de dados e controle remoto.
Modelo “crime como serviço”
O código contém a assinatura “by fifetka” e aceita apenas IDs de Telegram inseridos pelo autor, indício de um esquema de Malware-as-a-Service. A cada recompilação, um novo comprador recebe uma cópia exclusiva que só ele pode operar.
Detecção e prevenção
A Netskope classifica a ameaça como QD:Trojan.GenericKDQ.F8A018F2A0 e disponibilizou indicadores de comprometimento em seu repositório no GitHub. A empresa recomenda evitar downloads de mods fora de fontes oficiais, desconfiar de executáveis grandes, ativar autenticação de dois fatores no Discord, monitorar processos em segundo plano e manter antivírus atualizado.
Com informações de TecMundo
