Троян для Minecraft 'Nursultan' крадёт файлы через Telegram

Исследователи Netskope недавно обнаружили новый троян на основе Python, который маскируется под 'Nursultan Client' для Minecraft — популярное приложение в Восточной Европе. Этот RAT использует Telegram Bot API в качестве канала управления, позволяя злоумышленникам извлекать данные и удалённо взаимодействовать с заражёнными системами на Windows, Linux и macOS.

Основные факты

• Троян 'Nursultan' использует Telegram Bot API для командования и управления.
• Он нацелен на устройства с операционными системами Windows, Linux и macOS.
• Троян маскируется под легитимное приложение для Minecraft.
• Мошеннические приёмы включают скрытые ключи реестра и ложные экраны установки.
• Наличие команды '/info' позволяет собирать подробные системные данные.

Воздействие

Троян выполняет сбор информации о системе, кражу данных и удалённый надзор. Он также способен сканировать локальные хранилища и директории браузеров. Функции включают снятие скриншотов и захват изображений через камеру. Однако ошибки в реализации функции устойчивости не позволяют ему быть постоянным на системах.

Что дальше

Исследователи Netskope считают, что этот инструмент может быть частью развивающейся экосистемы MaaS (Malware-as-a-Service) из-за возможности кастомизации билдов. Организациям рекомендуется внимательно следить за зашифрованным трафиком на платформах, похожих на Telegram, чтобы выявить скрытое C2 взаимодействие.