Malware escondido em mod de Minecraft rouba contas do Discord e controla webcam

Um arquivo que se apresenta como “Nursultan Client”, supostamente um cliente alternativo e muito popular entre jogadores de Minecraft na Rússia e em partes da Europa Oriental, revelou-se um Python RAT capaz de roubar contas do Discord, espionar o usuário e assumir o controle de todo o sistema operacional. A ameaça foi localizada pela equipe de pesquisa da Netskope durante atividades de threat hunting e mostra como a confiança dos gamers em mods e clientes não oficiais continua sendo explorada por cibercriminosos.

O que é o “Nursultan Client” distribuído pelos atacantes

O vetor de infecção começa com um executável de 68,5 MB criado com a ferramenta legítima PyInstaller. Esse tamanho incomum não foi escolhido ao acaso: arquivos grandes podem ser ignorados ou analisados apenas superficialmente por soluções de segurança, aumentando as chances de que o malware passe despercebido. Ao ser executado, ele exibe uma barra de progresso que simula uma instalação comum de cliente de jogo, convencendo a vítima de que tudo corre normalmente.

Enquanto a interface engana, o código tenta inserir uma chave no Registro do Windows para iniciar automaticamente a cada boot. O artifício falha, porque o autor não adaptou o script para o modo compilado “onefile” do PyInstaller: ao fechar o programa, o diretório temporário usado na execução é apagado e, portanto, o componente de persistência deixa de existir. Ainda assim, até que o computador seja reiniciado, o invasor obtém acesso pleno ao ambiente da vítima.

Como o malware se comunica: Telegram no papel de central de comando

Logo após a infecção, o RAT estabelece comunicação via Telegram utilizando um token de bot embutido e uma lista de IDs autorizados. Essa arquitetura dispensa servidores dedicados, aproveita a criptografia da plataforma e se camufla no tráfego legítimo de milhões de usuários. Todas as instruções — desde a coleta de informações de sistema até o acionamento da webcam — são enviadas por mensagens de texto a partir do aplicativo de mensagens.

Principais comandos disponíveis ao atacante

A pesquisa da Netskope identificou um conjunto de instruções que dão ao operador controle quase total sobre o equipamento comprometido:

/info – reúne dados como nome do computador, usuário conectado, versão do sistema operacional, processador, quantidade de memória, espaço em disco e endereços IP local e externo. O relatório é formatado em russo e contém a assinatura “by fifetka”.

/tokens – executa uma varredura nos diretórios locais do Discord (edições Stable, PTB e Canary) e nos navegadores Chrome, Edge, Firefox, Opera e Brave. Arquivos .ldb e .log, além de bancos LevelDB e SQLite, são verificados em busca de tokens de autenticação.

/screenshot – captura a tela em tempo real e envia a imagem ao atacante, expondo documentos abertos, conversas, senhas sendo digitadas ou qualquer conteúdo visível naquele momento.

/camera – aciona a webcam e faz uma fotografia sem qualquer aviso visual para o usuário.

Se o operador encaminhar uma URL, o malware a abre automaticamente no navegador da vítima. Caso o texto não seja um link, ele aparece em um pop-up, função útil para mensagens de intimidação ou engenharia social. Imagens enviadas também são baixadas e exibidas, possibilitando mostrar conteúdo falso ou chocante diretamente na tela do alvo.

Roubo de tokens do Discord: o objetivo central

Embora o RAT conte com diversas capacidades de vigilância, o foco declarado é o roubo de tokens de autenticação do Discord. Esses identificadores substituem senha e verificação em duas etapas, permitindo que o invasor se passe pelo usuário sem qualquer barreira adicional. A partir desse acesso, o criminoso pode:

• Enviar spam e links de phishing aos contatos da vítima;
• Acessar servidores privados, inclusive com informações confidenciais;
• Ler conversas arquivadas e obter dados pessoais;
• Comercializar a conta no mercado clandestino.

Todos esses cenários são viáveis sem que o proprietário perceba imediatamente a perda de controle, já que o login permanece ativo e não dispara alertas de novos dispositivos.

Funcionalidades de espionagem em múltiplas plataformas

Os componentes de monitoramento — captura de tela, ativação da câmera e recebimento de comandos via Telegram — funcionam em Windows, Linux e macOS. Apenas o método de persistência e a rotina de busca por tokens de Discord dependem de diretórios específicos do Windows. Isso amplia a superfície de ataque, pois basta que o usuário execute o arquivo para oferecer ao operador visão privilegiada do ambiente, independentemente do sistema operacional.

Falhas de desenvolvimento revelam perfil do autor

Apesar do conjunto robusto de funções, a falha na rotina de inicialização automática indica que o criador não pertence à elite do cibercrime. O script original foi escrito para rodar em formato puro (.py) e não recebeu os ajustes necessários para o modo compilado. Ainda assim, erros de engenharia não diminuem o impacto: durante a sessão ativa, o atacante dispõe de tempo suficiente para extrair dados, instalar arquivos adicionais ou chantagear o usuário.

Modelo de negócios: Malware-as-a-Service simplificado

A lista de IDs de Telegram permitidos demonstra uma estratégia de licenciamento informal. O autor recompila o executável alterando apenas o identificador do bot e vende versões exclusivas a diferentes compradores. Cada adquirente controla seu próprio “cliente” de máquinas infectadas, e o distribuidor original não precisa se envolver na operação diária. Essa abordagem, descrita pelos analistas como um “franchising do crime digital”, facilita a multiplicação de campanhas independentes usando o mesmo código-base.

Por que a comunidade gamer é um alvo recorrente

Jogadores de Minecraft e de outros títulos costumam instalar modificações, texturas, clientes personalizados e cheats vindos de fóruns, grupos privados ou servidores de chat. Ao explorar essa cultura de confiança entre pares, atacantes inserem malware em pacotes desejados e contam com o compartilhamento espontâneo para ampliar o alcance. Segundo a Netskope, essa tática não é nova, mas o caso do Nursultan Client destaca a integração de múltiplas funções — espionagem, roubo de dados e até abertura silenciosa de anúncios — em um único artefato.

Implicações para empresas e provedores de segurança

O uso do Telegram como canal de comando representa um desafio adicional para ambientes corporativos. Bloquear completamente o serviço pode afetar fluxos legítimos de comunicação; permitir tráfego irrestrito cria brecha para movimentação lateral de ameaças. Detectar padrões de API fora do comportamento normal exige ferramentas de inspeção detalhada e equipes especializadas.

Detecção e indicadores de comprometimento

A própria Netskope classifica o executável como QD:Trojan.GenericKDQ.F8A018F2A0 e disponibiliza em seu repositório público os hashes e scripts relacionados, auxiliando equipes de segurança na caça a artefatos similares. A rápida identificação e publicação desses indicadores ajudam a diminuir a janela de exposição, mas a circulação acelerada em comunidades de jogos continua sendo um obstáculo prático.

Boas práticas essenciais para usuários

O relatório destaca que medidas simples podem evitar a contaminação:

• Baixar conteúdo apenas de fontes oficiais ou verificadas. Mods e clientes legítimos têm distribuição clara e histórico reconhecido pela comunidade.
• Observar o tamanho do arquivo. Um cliente de Minecraft dificilmente chega a 68,5 MB sem justificativa técnica plausível.
• Ativar autenticação de dois fatores em todas as contas online, sobretudo no Discord, reduzindo o valor de tokens furtados.
• Monitorar processos em execução. Programas desconhecidos abertos em segundo plano merecem investigação imediata.
• Manter soluções antivírus atualizadas, capazes de reconhecer assinaturas e comportamentos anômalos.

A combinação de engenharia social aprimorada, facilidade de distribuição e múltiplos módulos de espionagem confirma que o “Nursultan Client” faz parte de um ciclo constante de ameaças voltadas à comunidade gamer. Conhecer o funcionamento interno do artefato e aplicar políticas de segurança básicas são passos fundamentais para impedir que um simples mod de jogo se transforme em porta de entrada para roubo de dados e violação de privacidade.