Los investigadores de los Laboratorios de Amenazas de Netskope (Threat Labs) acaban de publicar el análisis de un nuevo RAT (troyano de acceso remoto) escrito en Python que ataca a los jugadores a través del popular juego Minecraft. Utiliza la API de Bot Telegram como canal de mando y control (C2), lo que permite a los atacantes extraer datos robados e interactuar remotamente con los dispositivos de las víctimas. Sin embargo, a pesar del peligro que supone este software malicioso, carece de la sofisticación de los grupos más avanzados.

Los investigadores han podido averiguar lo siguiente sobre este nuevo virus:

• El malware se hace pasar por el software legítimo de Minecraft, «Nursultan Client», utilizando este nombre en falsos mensajes de instalación y claves de registro de persistencia para engañar a las víctimas.
• Esto es parte de una práctica extendida de los ciberdelincuentes de atacar a la comunidad de jugadores inyectando malware en «mods», «cheats» y herramientas personalizadas.
• Está diseñado para robar los tokens de autenticación de Discord del cliente de escritorio y de los navegadores. También incluye funciones de vigilancia, como la captura de pantalla y de la webcam, y funciones de «adware», como abrir y mostrar URL, imágenes y texto arbitrarios.

Basándose en este análisis, Netskope Threat Labs considera que el uso del nombre de un cliente conocido de Minecraft en sus artefactos de instalación y persistencia es una táctica de ingeniería social clara, diseñada para engañar a las víctimas, en particular a los jugadores.

Esta amenaza pone de relieve la importancia de que las empresas tengan una visibilidad en profundidad de todo el tráfico de red, incluidos los canales cifrados.