Malware camuflado em mod dá aos criminosos acesso à webcam e chaves de login
A Netskope identificou um novo Python RAT (Trojan de acesso remoto) que mira jogadores de Minecraft e representa um alerta direto para a comunidade gamer, explorando o hábito de baixar versões modificadas do jogo, mods e ferramentas instaladas fora dos canais oficiais.
Esse comportamento, comum no universo dos games, vem sendo usado por criminosos como porta de entrada para golpes capazes de tomar o controle do computador. Depois de infectar o sistema da vítima, os criminosos geram comandos via Telegram para tirar print da tela do usuário, acionar a webcam, abrir páginas e imagens no computador e, finalmente, vasculhar arquivos onde ficam as “chaves” de login do aplicativo Discord.
O golpe analisado se disfarça com o nome de “Nursultan Client”, uma versão modificada e não oficial de Minecraft usada em comunidades específicas do jogo. “Usar o nome de um cliente conhecido de Minecraft é uma tática clara de engenharia social para enganar vítimas, especialmente gamers”, ressalta Nikhil Hegde, engenheiro sênior de Software da Netskope. O relatório também aponta sinais de um modelo de malware como serviço (MaaS), no qual o invasor controla o acesso ao bot por meio de um ID específico do Telegram, e pode até revender o mesmo malware para outros criminosos.
Embora o Nursultan Client seja associado a comunidades estrangeiras, o risco para jogadores brasileiros é real, já que a tática se apoia em engenharia social e na distribuição de arquivos fora de canais oficiais – um comportamento comum no ecossistema global de mods e jogadores de Minecraft.
Para reduzir o risco de ataques, o usuário deve baixar mods e ferramentas apenas de fontes confiáveis, desconfiar de promessas de “cheats” ou arquivos enviados por mensagem, ativar autenticação multifator no Discord e em outras contas, manter o sistema e o navegador atualizados, usar antimalware com varreduras frequentes e cobrir a webcam quando não estiver em uso. Caso note comportamento estranho, como janelas abrindo sozinhas ou a câmera ligando sem comando, a orientação é desconectar da internet, fazer uma varredura completa e trocar imediatamente todas as senhas.
Para reduzir a exposição em redes corporativas, a Netskope destaca a importância do reforço da segurança cibernética, com visibilidade do tráfego de rede, incluindo canais criptografados, e monitoramento atividades incomuns envolvendo serviços legítimos como o Telegram, que podem ocultar ataques semelhantes.
Para informações técnicas sobre este levantamento, acesso o post no blog da Netskope.
