Baixar mods de Minecraft de fontes duvidosas pode sair caro. Pesquisadores da Netskope descobriram um novo golpe em que cibercriminosos estão distribuindo um trojan de acesso remoto (Python RAT) disfarçado de mod popular chamado “Nursultan Client”. O malware circula em versões crackeadas do jogo, especialmente entre jogadores da Rússia e Europa Oriental, mas pode atingir qualquer pessoa que baixe o arquivo.
A diferença entre o mod verdadeiro e o falso? Um traz recursos de jogo; o outro entrega ao invasor acesso total à sua máquina, à webcam e até à sua conta do Discord.
A isca perfeita para gamers
O “Nursultan Client” foi empacotado com PyInstaller, uma ferramenta legítima que transforma scripts Python em executáveis — mas que vem sendo usada para disfarçar malwares. O arquivo tem 68,5 MB, tamanho propositalmente inflado para enganar antivírus que costumam ignorar arquivos muito grandes.
Segundo Nikhil Hegde, engenheiro sênior da Netskope, essa é uma típica tática de engenharia social:
“Usar o nome de um cliente conhecido de Minecraft é o jeito mais fácil de enganar gamers que confiam em mods e ferramentas alternativas.”
A ameaça marca mais um capítulo de uma tendência preocupante: criminosos explorando a comunidade gamer por meio de mods, cheats e ferramentas customizadas. Mas desta vez, o golpe é mais completo — o malware combina roubo de dados, espionagem e adware em um só pacote.
A falsa instalação
Ao executar o programa, o usuário vê uma tela de “instalação” com uma barra de progresso, como se tudo fosse legítimo. Enquanto isso, nos bastidores, o trojan tenta se adicionar à inicialização automática do Windows, criando uma chave de registro com o nome do cliente verdadeiro.
Mas há um detalhe curioso: a persistência não funciona direito. O executável, feito em modo “onefile”, usa uma pasta temporária que é apagada quando o programa fecha. Na prática, o malware provavelmente não sobrevive a uma reinicialização — sinal de que o criador entende o básico, mas não é um cibercriminoso de elite.
Mesmo assim, o trojan é perigoso o suficiente para roubar dados e expor o sistema antes de ser encerrado.
Telegram: o comando do crime
O malware usa o Telegram como canal de comando e controle (C2). Ele vem com um bot token pré-configurado e uma lista de IDs autorizados, garantindo que apenas o invasor consiga dar ordens.
A escolha faz sentido: o Telegram é popular, gratuito e criptografado. Além disso, permite criar bots com poucos cliques — ideal para criminosos que querem operar sem precisar manter servidores próprios.
Discord: o alvo principal
O foco do “Nursultan Client” é claro — roubar tokens de autenticação do Discord. Esses tokens são equivalentes a chaves-mestras que concedem acesso completo à conta, sem precisar de senha nem autenticação de dois fatores.
O malware vasculha:
- Pastas locais das versões Discord Stable, PTB e Canary;
- Arquivos .ldb e .log onde ficam armazenados os tokens;
- Navegadores como Chrome, Edge, Firefox, Opera e Brave, analisando bancos LevelDB e SQLite.
Com os tokens em mãos, o invasor pode assumir sua conta, enviar mensagens falsas, roubar informações, aplicar golpes e até vender o acesso no mercado negro.
Webcam, tela e navegador sob controle
Além do roubo de credenciais, o trojan oferece uma série de comandos remotos via Telegram:
/info– coleta informações detalhadas do sistema (nome do PC, IP, hardware, SO, etc.);/tokens– busca e envia tokens do Discord;/screenshot– captura a tela em tempo real;/camera– ativa a webcam e tira uma foto sem aviso;- Envio de links e imagens – abre sites automaticamente ou exibe pop-ups manipulados.
O código ainda exibe a assinatura “by fifetka” em russo, indicando a origem da ameaça.
Malware como serviço: o “franchising” do crime
A arquitetura do trojan revela que ele foi feito para revenda. O autor distribui cópias personalizadas, alterando apenas o ID do Telegram autorizado, em um esquema típico de Malware-as-a-Service (MaaS).
Cada comprador recebe uma versão exclusiva do malware e pode operar seus próprios ataques. Assim, o criador original lucra vendendo a ferramenta e não precisa participar das infecções diretamente — um verdadeiro “franchising” do cibercrime.
Por que essa ameaça preocupa
Mesmo com falhas, o “Nursultan Client” é perigoso porque:
- Opera em Windows, Linux e macOS (com limitações);
- Usa o Telegram, dificultando a detecção de tráfego malicioso;
- Se espalha facilmente em comunidades de gamers, fóruns e grupos do Discord.
Para empresas, isso representa um desafio: é quase impossível bloquear completamente o Telegram sem afetar usuários legítimos. A solução está em monitorar padrões anômalos de rede e APIs, algo que exige ferramentas avançadas de segurança.
Como se proteger
A Netskope já detecta o trojan sob a assinatura “QD:Trojan.GenericKDQ.F8A018F2A0”, mas os usuários também precisam adotar medidas básicas:
- Baixe mods apenas de fontes oficiais ou repositórios verificados pela comunidade.
- Desconfie de arquivos grandes demais. Um mod de Minecraft não deveria ter quase 70 MB.
- Ative autenticação de dois fatores (2FA) em todas as contas.
- Monitore processos suspeitos no gerenciador de tarefas.
- Mantenha o antivírus atualizado e execute verificações regulares.
