A Netskope identificou um novo trojan de acesso remoto (RAT) desenvolvido em Python que está mirando jogadores de Minecraft. O golpe utiliza engenharia social para explorar o hábito comum entre gamers de baixar versões modificadas do jogo, mods e ferramentas fora dos canais oficiais, abrindo caminho para a instalação de malware e o roubo de informações pessoais.
Segundo o levantamento, após infectar o computador da vítima, o malware permite que os criminosos executem comandos via Telegram, como capturar prints de tela, ativar a webcam, abrir páginas e imagens e procurar arquivos com chaves de login do Discord.
“Nursultan Client” engana jogadores com nome falso
O golpe se apresenta como “Nursultan Client”, uma versão modificada e não oficial do Minecraft, distribuída em comunidades específicas do jogo.
“Usar o nome de um cliente conhecido de Minecraft é uma tática clara de engenharia social para enganar vítimas, especialmente gamers”, explica Nikhil Hegde, engenheiro sênior de software da Netskope.
A análise da empresa também identificou indícios de que o ataque segue um modelo de malware como serviço (MaaS), em que o invasor controla o acesso ao bot por meio de um ID específico do Telegram, podendo até revender o malware para outros criminosos.
Risco é global, incluindo o Brasil
Embora o “Nursultan Client” tenha origem em comunidades estrangeiras, o risco se estende aos jogadores brasileiros, já que a tática se apoia em distribuição de mods e arquivos fora de canais oficiais — um comportamento comum no ecossistema global de Minecraft.
Para reduzir o risco de infecção, a Netskope recomenda:
- Baixar mods e ferramentas apenas de fontes confiáveis;
- Desconfiar de “cheats” e links enviados por mensagens;
- Ativar autenticação multifator em contas do Discord e outros serviços;
- Manter sistema e navegador atualizados;
- Usar antimalware com varredura frequente;
- Cobrir a webcam quando não estiver em uso.
Caso o usuário perceba comportamentos anormais, como janelas abrindo sozinhas ou a câmera ligando sem comando, deve desconectar da internet, realizar uma varredura completa e alterar imediatamente todas as senhas.
Alerta também para redes corporativas
A Netskope reforça que ataques como esse também podem representar riscos para ambientes corporativos. A empresa recomenda visibilidade total do tráfego de rede, incluindo canais criptografados, e o monitoramento de atividades incomuns que envolvam aplicativos legítimos como o Telegram, usados por criminosos para ocultar comunicações maliciosas.
Mais detalhes técnicos sobre o levantamento estão disponíveis no blog oficial da Netskope.
