Mod de Minecraft esconde malware ladrão de contas do Discord

Picture of Edição - Istoé TECH
Edição - Istoé TECH
Mod de Minecraft esconde malware ladrão de contas do Discord

Você baixou aquele mod de Minecraft que todo mundo tá usando? Talvez não devesse. Cibercriminosos estão distribuindo um Python RAT, trojan de acesso remoto, disfarçado de “Nursultan Client”. O ataque se esconde por trás de uma versão crackeada e popular de Minecraft entre jogadores russos e da Europa Oriental.

A diferença entre baixar a versão real e o malware? Uma pode te custar sua conta do Discord, acesso à sua webcam e o controle total do seu computador.

A descoberta é da Netskope, que identificou a ameaça durante atividades de threat hunting. O esquema é simples: depois de infectar o sistema, os criminosos usam o Telegram como canal de comando e controle. De lá, podem tirar screenshots da tela, ativar a webcam, abrir sites no navegador e vasculhar arquivos em busca de tokens do Discord.

“Nursultan Client” é a isca perfeita para gamers

O executável foi criado com PyInstaller — uma ferramenta legítima que transforma scripts Python em programas executáveis, mas que virou queridinha de criadores de malware. O arquivo tem 68.5 MB, um tamanho inflacionado que não é acidental: alguns sistemas de segurança simplesmente ignoram ou escaneiam parcialmente arquivos muito grandes, deixando a porta aberta para a infecção.

“Usar o nome de um cliente conhecido de Minecraft é uma tática clara de engenharia social para enganar vítimas, especialmente gamers”, explica Nikhil Hegde, engenheiro sênior de software da Netskope. A escolha do Nursultan Client não foi aleatória. Os criminosos sabem que gamers vivem baixando mods, cheats e clientes alternativos e usam essa confiança como porta de entrada.

Isso marca mais um capítulo de uma história que se repete. Grupos criminosos têm atacado a comunidade gamer há anos, injetando malware em modificações de jogos, programas de trapaça e ferramentas customizadas. A diferença aqui está na sofisticação: o malware combina vigilância, roubo de dados e recursos de adware numa única ferramenta. É o canivete suíço do crime digital.

A farsa da “instalação”

Quando você executa o arquivo, tudo parece normal. Uma barra de progresso aparece na tela com mensagens de “instalando Nursultan Client”, convencendo você de que está tudo certo. Enquanto isso, nos bastidores, o programa tenta se adicionar à inicialização automática do Windows, criando uma chave de registro com o mesmo nome do cliente legítimo.

Mas aqui fica interessante – o mecanismo de persistência tem falhas graves. O código foi claramente escrito para rodar como script Python puro e não foi adaptado corretamente para a versão compilada. 

Quando o PyInstaller cria um executável “onefile”, ele usa um diretório temporário que é deletado assim que o programa fecha. Traduzindo: o malware provavelmente não sobrevive a uma reinicialização do sistema.

Essa falha técnica revela algo importante sobre o autor. Ele não é um cibercriminoso de elite. Domina o suficiente para montar uma ferramenta perigosa a partir de bibliotecas prontas, mas comete erros básicos que desenvolvedores mais experientes evitariam. Mas não se engane, a falha na persistência não torna o malware menos perigoso.

Telegram: onde os criminosos se sentem em casa

O malware vem com um token de bot do Telegram já configurado e uma lista de IDs de usuários autorizados, garantindo que apenas o atacante possa dar ordens à máquina infectada. Para os criminosos, o Telegram é perfeito.

Ele é um serviço legítimo usado por milhões de pessoas, oferece comunicação criptografada, tem uma API de bots extremamente fácil de usar e, melhor ainda, é gratuito. Não é preciso manter servidores próprios ou se preocupar com infraestrutura — tudo acontece através de uma plataforma que parece completamente normal para sistemas de segurança.

Discord: o verdadeiro alvo

O malware tem um foco claro: roubar tokens de autenticação do Discord. Esses tokens são o santo graal para criminosos porque funcionam como chaves-mestras: quem tem o token, tem acesso total à conta, sem precisar de senha ou autenticação de dois fatores.

O módulo de roubo é abrangente. Ele vasculha os arquivos locais de todas as versões do cliente Discord (estável, PTB e Canary) em busca de arquivos .ldb e .log onde os tokens ficam armazenados. Mas não para por aí, ele também escaneia os navegadores Chrome, Edge, Firefox, Opera e Brave, investigando tanto bancos de dados LevelDB quanto SQLite. Se você usa Discord em qualquer uma dessas plataformas, está vulnerável.

Com esses tokens em mãos, o atacante vira você no Discord. Pode enviar spam e phishing para todos os seus contatos, acessar servidores privados onde você participa, roubar conversas confidenciais, vender o acesso da sua conta no mercado negro ou usar ela em golpes de engenharia social. É um acesso VIP ao seu círculo de confiança — e você nem vai saber que perdeu o controle.

Webcam ligada, tela gravada

O roubo de tokens é só o começo. O malware oferece um menu completo de recursos de vigilância, todos controlados remotamente via comandos do Telegram.

O comando /info coleta um perfil detalhado do sistema — nome do computador, usuário, versão do Windows, processador, memória, disco e endereços IP local e externo. O relatório é formatado em russo e traz a assinatura “by fifetka”, deixando clara a origem da ameaça.

O comando /tokens executa a varredura completa em busca dos tokens do Discord e envia tudo para o atacante em segundos.

Mas os comandos mais invasivos são outros dois: /screenshot captura a tela da vítima em tempo real e envia via Telegram. Qualquer coisa visível no momento, senhas sendo digitadas, conversas privadas, documentos confidenciais fica exposta. Já o /camera ativa a webcam e tira uma foto sem qualquer aviso visual. Pode ser usado para vigilância, chantagem ou simplesmente invadir a privacidade da vítima.

E tem mais: se o atacante enviar uma mensagem de texto, o malware verifica se é uma URL. Caso seja, abre automaticamente no navegador da vítima — perfeito para direcionar a páginas de phishing ou sites maliciosos. Se não for URL, exibe o texto numa janela pop-up. 

Qualquer imagem enviada pelo atacante é baixada e aberta no visualizador padrão da vítima. Pode ser conteúdo chocante, faturas falsas ou qualquer tipo de manipulação psicológica. O atacante tem controle total sobre o que você vê na sua própria tela.

Crime como serviço: franchising do malware

A arquitetura do malware revela um modelo de negócio que está se tornando cada vez mais comum no submundo do cibercrime. O sistema de “usuários permitidos” funciona como um esquema simples de licenciamento: o autor muda apenas o ID do Telegram autorizado, recompila o executável e vende uma cópia personalizada para cada comprador.

É o conceito de Malware-as-a-Service (MaaS) em sua forma mais básica. Cada cliente recebe sua própria versão que só ele pode controlar, e o autor original não precisa se envolver nas operações. A assinatura “by fifetka” e o foco em gamers sugerem que o objetivo não é executar ataques diretamente, mas atrair outros criminosos de baixo nível dispostos a pagar pela ferramenta.

O relatório da Netskope aponta sinais claros desse modelo: o invasor controla o acesso ao bot por meio de um ID específico do Telegram e pode revender o mesmo malware para outros criminosos, criando uma rede de atacantes usando versões personalizadas simultaneamente. É o franchising do crime digital.

Por que essa ameaça é especialmente perigosa

Apesar das falhas técnicas, essa ameaça não deve ser subestimada. O malware é multiplataforma nas áreas mais críticas e a comunicação via Telegram e os recursos de vigilância funcionam em Windows, Linux e macOS. Apenas o roubo de tokens do Discord e a persistência são específicos do Windows, mas isso não diminui o alcance do ataque.

Para empresas, o uso do Telegram como canal de comando e controle representa um desafio extra. Como distinguir tráfego malicioso de uso legítimo quando ambos passam por um serviço de mensagens popular? Bloquear o Telegram inteiro não é uma opção viável para a maioria das organizações. 

A resposta está em monitorar padrões de comportamento e chamadas de API incomuns — uma tarefa que exige ferramentas de segurança sofisticadas e equipes preparadas.

E tem outro fator: a facilidade de distribuição. Gamers compartilham mods e ferramentas em fóruns, grupos do Discord, canais do Telegram e servidores privados. Uma vez que o malware entra em circulação nesses ambientes, se espalha rapidamente. É um efeito dominó onde a confiança da comunidade vira a maior vulnerabilidade.

O que fazer para se proteger

A boa notícia é que a Netskope detecta essa ameaça através de sua proteção avançada contra ameaças, classificando-a como “QD:Trojan.GenericKDQ.F8A018F2A0″. Todos os indicadores de comprometimento e scripts relacionados estão disponíveis no repositório GitHub da empresa para quem quiser investigar mais a fundo.

Mas a melhor proteção ainda é o bom senso. Algumas regras básicas podem te salvar de muita dor de cabeça.

  • Nunca baixe mods, clientes ou cheats de fontes não oficiais. Se não é do site oficial ou de uma fonte verificada pela comunidade, não vale o risco;
  • Desconfie de arquivos muito grandes. Um cliente de Minecraft modificado não deveria ter 68.5 MB sem uma boa razão;
  • Use autenticação de dois fatores em todas as contas — especialmente no Discord. Mesmo que roubem seu token, o atacante terá mais dificuldade de acessar outras coisas;
  • Monitore processos em execução no gerenciador de tarefas. Se aparecer algo suspeito rodando em segundo plano, investigue;
  • Mantenha um antivírus atualizado. Parece óbvio, mas muita gente negligencia essa camada básica de proteção.

Para ficar por dentro de todos os golpes que rolam na internet, acompanhe o TecMundo nas redes sociais. Assine nossa newsletter e se inscreva em nosso canal do YouTube para mais notícias de segurança e tecnologia.
 



Fonte ==> TecMundo

Edição - Istoé TECH

O Portal Isto é Tech é um portal de notícias sobre o mercado de tecnologia do mundo.
Colunas

Leia Também

Celebridades sóbrias bebem cerveja sem álcool

Celebridades sóbrias bebem cerveja sem álcool

Edição - Istoé TECH 24 de outubro de 2025 0
True Religion tem como alvo mulheres e fãs de esportes universitários em campanha de férias

True Religion tem como alvo mulheres e fãs de esportes universitários em campanha de férias

Edição - Istoé TECH 24 de outubro de 2025 0
Airbnb continua focado em experiências de viagem com novos recursos sociais

Airbnb continua focado em experiências de viagem com novos recursos sociais

Edição - Istoé TECH 24 de outubro de 2025 0
Principais conclusões da Advertising Week 2025 que os profissionais de marketing precisam saber

Principais conclusões da Advertising Week 2025 que os profissionais de marketing precisam saber

Edição - Istoé TECH 23 de outubro de 2025 0
Dunkin' e Kahlúa recorrem a Salma Hayek Pinault para impulsionar produtos de marca conjunta

Dunkin’ e Kahlúa recorrem a Salma Hayek Pinault para impulsionar produtos de marca conjunta

Edição - Istoé TECH 23 de outubro de 2025 0
Cuidado com 'Cranpus': Ocean Spray evolui plataforma de marca para feriados

Cuidado com ‘Cranpus’: Ocean Spray evolui plataforma de marca para feriados

Edição - Istoé TECH 22 de outubro de 2025 0
O negócio de publicidade da Netflix acelera – o que vem por aí à medida que oportunidades de IA e fusões e aquisições se aproximam

O negócio de publicidade da Netflix acelera – o que vem por aí à medida que oportunidades de IA e fusões e aquisições se aproximam

Edição - Istoé TECH 22 de outubro de 2025 0
O omnicom-ipg fusão limpa os principais obstáculos regulatórios focados em boicotes de anúncios

Omnicom descreve as maiores sinergias com o IPG à medida que o mega-negócio se aproxima

Edição - Istoé TECH 22 de outubro de 2025 0

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Últimas Notícias

Copyright © 2025 Istoé Tech

Política de Privacidade