Você baixou aquele mod de Minecraft que todo mundo tá usando? Talvez não devesse. Cibercriminosos estão distribuindo um Python RAT, trojan de acesso remoto, disfarçado de “Nursultan Client”. O ataque se esconde por trás de uma versão crackeada e popular de Minecraft entre jogadores russos e da Europa Oriental.
A diferença entre baixar a versão real e o malware? Uma pode te custar sua conta do Discord, acesso à sua webcam e o controle total do seu computador.
A descoberta é da Netskope, que identificou a ameaça durante atividades de threat hunting. O esquema é simples: depois de infectar o sistema, os criminosos usam o Telegram como canal de comando e controle. De lá, podem tirar screenshots da tela, ativar a webcam, abrir sites no navegador e vasculhar arquivos em busca de tokens do Discord.
“Nursultan Client” é a isca perfeita para gamers
O executável foi criado com PyInstaller — uma ferramenta legítima que transforma scripts Python em programas executáveis, mas que virou queridinha de criadores de malware. O arquivo tem 68.5 MB, um tamanho inflacionado que não é acidental: alguns sistemas de segurança simplesmente ignoram ou escaneiam parcialmente arquivos muito grandes, deixando a porta aberta para a infecção.
“Usar o nome de um cliente conhecido de Minecraft é uma tática clara de engenharia social para enganar vítimas, especialmente gamers”, explica Nikhil Hegde, engenheiro sênior de software da Netskope. A escolha do Nursultan Client não foi aleatória. Os criminosos sabem que gamers vivem baixando mods, cheats e clientes alternativos e usam essa confiança como porta de entrada.
Isso marca mais um capítulo de uma história que se repete. Grupos criminosos têm atacado a comunidade gamer há anos, injetando malware em modificações de jogos, programas de trapaça e ferramentas customizadas. A diferença aqui está na sofisticação: o malware combina vigilância, roubo de dados e recursos de adware numa única ferramenta. É o canivete suíço do crime digital.
A farsa da “instalação”
Quando você executa o arquivo, tudo parece normal. Uma barra de progresso aparece na tela com mensagens de “instalando Nursultan Client”, convencendo você de que está tudo certo. Enquanto isso, nos bastidores, o programa tenta se adicionar à inicialização automática do Windows, criando uma chave de registro com o mesmo nome do cliente legítimo.
Mas aqui fica interessante – o mecanismo de persistência tem falhas graves. O código foi claramente escrito para rodar como script Python puro e não foi adaptado corretamente para a versão compilada.
Quando o PyInstaller cria um executável “onefile”, ele usa um diretório temporário que é deletado assim que o programa fecha. Traduzindo: o malware provavelmente não sobrevive a uma reinicialização do sistema.
Essa falha técnica revela algo importante sobre o autor. Ele não é um cibercriminoso de elite. Domina o suficiente para montar uma ferramenta perigosa a partir de bibliotecas prontas, mas comete erros básicos que desenvolvedores mais experientes evitariam. Mas não se engane, a falha na persistência não torna o malware menos perigoso.
Telegram: onde os criminosos se sentem em casa
O malware vem com um token de bot do Telegram já configurado e uma lista de IDs de usuários autorizados, garantindo que apenas o atacante possa dar ordens à máquina infectada. Para os criminosos, o Telegram é perfeito.
Ele é um serviço legítimo usado por milhões de pessoas, oferece comunicação criptografada, tem uma API de bots extremamente fácil de usar e, melhor ainda, é gratuito. Não é preciso manter servidores próprios ou se preocupar com infraestrutura — tudo acontece através de uma plataforma que parece completamente normal para sistemas de segurança.
Discord: o verdadeiro alvo
O malware tem um foco claro: roubar tokens de autenticação do Discord. Esses tokens são o santo graal para criminosos porque funcionam como chaves-mestras: quem tem o token, tem acesso total à conta, sem precisar de senha ou autenticação de dois fatores.
O módulo de roubo é abrangente. Ele vasculha os arquivos locais de todas as versões do cliente Discord (estável, PTB e Canary) em busca de arquivos .ldb e .log onde os tokens ficam armazenados. Mas não para por aí, ele também escaneia os navegadores Chrome, Edge, Firefox, Opera e Brave, investigando tanto bancos de dados LevelDB quanto SQLite. Se você usa Discord em qualquer uma dessas plataformas, está vulnerável.
Com esses tokens em mãos, o atacante vira você no Discord. Pode enviar spam e phishing para todos os seus contatos, acessar servidores privados onde você participa, roubar conversas confidenciais, vender o acesso da sua conta no mercado negro ou usar ela em golpes de engenharia social. É um acesso VIP ao seu círculo de confiança — e você nem vai saber que perdeu o controle.
Webcam ligada, tela gravada
O roubo de tokens é só o começo. O malware oferece um menu completo de recursos de vigilância, todos controlados remotamente via comandos do Telegram.
O comando /info coleta um perfil detalhado do sistema — nome do computador, usuário, versão do Windows, processador, memória, disco e endereços IP local e externo. O relatório é formatado em russo e traz a assinatura “by fifetka”, deixando clara a origem da ameaça.
O comando /tokens executa a varredura completa em busca dos tokens do Discord e envia tudo para o atacante em segundos.
Mas os comandos mais invasivos são outros dois: /screenshot captura a tela da vítima em tempo real e envia via Telegram. Qualquer coisa visível no momento, senhas sendo digitadas, conversas privadas, documentos confidenciais fica exposta. Já o /camera ativa a webcam e tira uma foto sem qualquer aviso visual. Pode ser usado para vigilância, chantagem ou simplesmente invadir a privacidade da vítima.
E tem mais: se o atacante enviar uma mensagem de texto, o malware verifica se é uma URL. Caso seja, abre automaticamente no navegador da vítima — perfeito para direcionar a páginas de phishing ou sites maliciosos. Se não for URL, exibe o texto numa janela pop-up.
Qualquer imagem enviada pelo atacante é baixada e aberta no visualizador padrão da vítima. Pode ser conteúdo chocante, faturas falsas ou qualquer tipo de manipulação psicológica. O atacante tem controle total sobre o que você vê na sua própria tela.
Crime como serviço: franchising do malware
A arquitetura do malware revela um modelo de negócio que está se tornando cada vez mais comum no submundo do cibercrime. O sistema de “usuários permitidos” funciona como um esquema simples de licenciamento: o autor muda apenas o ID do Telegram autorizado, recompila o executável e vende uma cópia personalizada para cada comprador.
É o conceito de Malware-as-a-Service (MaaS) em sua forma mais básica. Cada cliente recebe sua própria versão que só ele pode controlar, e o autor original não precisa se envolver nas operações. A assinatura “by fifetka” e o foco em gamers sugerem que o objetivo não é executar ataques diretamente, mas atrair outros criminosos de baixo nível dispostos a pagar pela ferramenta.
O relatório da Netskope aponta sinais claros desse modelo: o invasor controla o acesso ao bot por meio de um ID específico do Telegram e pode revender o mesmo malware para outros criminosos, criando uma rede de atacantes usando versões personalizadas simultaneamente. É o franchising do crime digital.
Por que essa ameaça é especialmente perigosa
Apesar das falhas técnicas, essa ameaça não deve ser subestimada. O malware é multiplataforma nas áreas mais críticas e a comunicação via Telegram e os recursos de vigilância funcionam em Windows, Linux e macOS. Apenas o roubo de tokens do Discord e a persistência são específicos do Windows, mas isso não diminui o alcance do ataque.
Para empresas, o uso do Telegram como canal de comando e controle representa um desafio extra. Como distinguir tráfego malicioso de uso legítimo quando ambos passam por um serviço de mensagens popular? Bloquear o Telegram inteiro não é uma opção viável para a maioria das organizações.
A resposta está em monitorar padrões de comportamento e chamadas de API incomuns — uma tarefa que exige ferramentas de segurança sofisticadas e equipes preparadas.
E tem outro fator: a facilidade de distribuição. Gamers compartilham mods e ferramentas em fóruns, grupos do Discord, canais do Telegram e servidores privados. Uma vez que o malware entra em circulação nesses ambientes, se espalha rapidamente. É um efeito dominó onde a confiança da comunidade vira a maior vulnerabilidade.
O que fazer para se proteger
A boa notícia é que a Netskope detecta essa ameaça através de sua proteção avançada contra ameaças, classificando-a como “QD:Trojan.GenericKDQ.F8A018F2A0″. Todos os indicadores de comprometimento e scripts relacionados estão disponíveis no repositório GitHub da empresa para quem quiser investigar mais a fundo.
Mas a melhor proteção ainda é o bom senso. Algumas regras básicas podem te salvar de muita dor de cabeça.
- Nunca baixe mods, clientes ou cheats de fontes não oficiais. Se não é do site oficial ou de uma fonte verificada pela comunidade, não vale o risco;
- Desconfie de arquivos muito grandes. Um cliente de Minecraft modificado não deveria ter 68.5 MB sem uma boa razão;
- Use autenticação de dois fatores em todas as contas — especialmente no Discord. Mesmo que roubem seu token, o atacante terá mais dificuldade de acessar outras coisas;
- Monitore processos em execução no gerenciador de tarefas. Se aparecer algo suspeito rodando em segundo plano, investigue;
- Mantenha um antivírus atualizado. Parece óbvio, mas muita gente negligencia essa camada básica de proteção.
Para ficar por dentro de todos os golpes que rolam na internet, acompanhe o TecMundo nas redes sociais. Assine nossa newsletter e se inscreva em nosso canal do YouTube para mais notícias de segurança e tecnologia.
