Фанатов Minecraft атакует новый Python-троян удаленного доступа
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Фанатов Minecraft атакует новый Python-троян удаленного доступа

Татьяна Никитина 23 Октября 2025 - 20:44
...
Фанатов Minecraft атакует новый Python-троян удаленного доступа

Эксперты Netskope обнаружили неизвестного ранее RAT-зловреда, раздаваемого под видом Nursultan Client — легитимного приложения для Minecraft, пользующегося популярностью в геймерских сообществах Восточной Европы и России.

Анализ экзешника весом 68,5 Мбайт, созданного с помощью PyInstaller, показал, что это многофункциональный троян, способный воровать данные из Discord и браузеров пользователей Windows, а также облегчать слежку на других платформах (macOS, Linux).

Для получения команд и вывода украденных данных новобранец использует Telegram. Токен доступа к боту и ID авторизованного юзера жестко прописаны в коде Python-зловреда.

При запуске под Windows зловред отображает в консоли фейковый процесс установки легитимного Nursultan Client, пытаясь скрыть свое присутствие.

 

Вредонос также прописывается на автозапуск, создавая новый ключ в системном реестре. Как оказалось, при реализации механизма персистентности автор нового RAT допустил ошибку: команду на запуск исполняемого файла соответствующий код строит некорректно:

 

Новоявленный троян умеет извлекать токены аутентификации из Discord-клиентов, а также сохраненные в браузерах данные (Google Chrome, Microsoft Edge, Firefox, Opera, Brave).

По команде info он собирает исчерпывающую информацию о зараженной системе: имя компьютера, имя пользователя, версия ОС, используемый CPU, емкость памяти и заполнение дисков, локальный и внешний IP-адреса. Закончив профилирование, зловред отправляет оператору русскоязычный отчет.

Возможности слежки с помощью нового RAT включают получение скриншотов и фото с подключенной к компьютеру веб-камеры. Вредонос также наделен функциями adware: умеет отображать полученные с C2 тексты / картинки в виде всплывающих сообщений и автоматически открывать встроенные в них ссылки.

Отсутствие средств противодействия анализу и кастомной обфускации кода, а также вшитая строка ALLOWED_USERS навели исследователей на мысль, что новый зловред удаленного доступа предоставляется в пользование по модели MaaS — Malware-as-a-Service, как услуга.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники под предлогом выплат выуживают данные у ветеранов труда
Татьяна Никитина 17 Ноября 2025 - 12:15
МошенничествоОнлайн-мошенничество Домашние пользователи
Мошенники под предлогом выплат выуживают данные у ветеранов труда

Телефонные мошенники начали атаковать ветеранов труда: от имени мэрии сообщают о якобы положенных наградах, в том числе денежных, и под этим предлогом предлагают создать личный кабинет и продиктовать персональные данные.

В связи с новыми атаками киберполиция России напоминает: сотрудники городской администрации никогда не звонят по таким поводам и не используют этот канал связи для уточнения ПДн, СНИЛС либо финансовой информации.

Личные кабинеты на госсервисах тоже не создаются по звонку — только через Госуслуги, МФЦ или отдел социальных служб местного органа власти.

При получении подозрительного звонка следует уточнить информацию по контактному номеру, указанному на сайте заявленной организации. Если сведения не подтвердятся, стоит пожаловаться оператору на спам (внести номер в черный список), а лучше поставить в известность полицию.

Заметим, предлог в виде социальных выплат при обращении к гражданам в рамках мошеннических схем не нов. Так, в прошлом году мошенники накануне Дня Победы сулили ветеранам ВОВ до 300 тыс. руб. в обмен на персональные и финансовые данные.

В этом году злоумышленники, собирающие ПДн, стали чаще представляться сотрудниками управляющих компаний, а после ввода блокировки обзвонов юрлиц вновь перевели общение с потенциальными жертвами в мессенджеры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Вымогатели увеличили сумму выкупа у российских компаний до 400 млн ₽
Новость
Вымогатели увеличили сумму выкупа у российских компаний до 4...
В сентябре выявлено 1,7 тыс. фишинговых ресурсов с темой iPhone 17
Новость
В сентябре выявлено 1,7 тыс. фишинговых ресурсов с темой iPh...
Android-шпион Landfall год следил за владельцами Samsung Galaxy
Новость
Android-шпион Landfall год следил за владельцами Samsung Gal...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.