【安全圈】新型 Python 木马伪装 Minecraft 应用

关键词

网络攻击

网络安全研究人员近期发现，一款新型远程访问木马（RAT）正在瞄准游戏玩家群体。这款木马由 Python 编写，伪装成名为“Nursultan Client”的 Minecraft 应用程序，该程序在东欧和俄罗斯的游戏社区中广受欢迎。攻击者利用其知名度误导用户安装恶意软件，从而窃取数据并维持远程访问。

这款木马通过Telegram Bot API实现命令与控制（C2）功能，使攻击者能够隐蔽地窃取受害者数据并保持对受感染设备的控制。研究人员指出，这一发现反映了网络犯罪分子日益针对游戏社区的趋势，尤其是通过恶意插件、作弊工具或盗版软件进行传播。

该木马最初在威胁狩猎过程中被发现，表现为一个68.5 MB 的可执行文件，使用 PyInstaller 打包而成。虽然 PyInstaller 常用于将 Python 脚本打包成独立可执行文件，但攻击者常利用它将恶意 Python 脚本与依赖打包在一起，从而轻松传播。

运行时，木马会显示一个伪造的安装进度条，标有 “Nursultan Client”，让用户误以为正在安装合法软件。虽然其持久化和凭证窃取功能主要针对 Windows 系统，但核心的 C2 通信和监控能力可以跨Windows、Linux 和 macOS平台运行，从而扩大了潜在受害者范围。攻击者还在安装提示和注册表键名中使用 “Nursultan Client”，显示其社会工程手法专门针对游戏社区设计。

木马依赖 Telegram Bot API 作为隐蔽的 C2 通道。研究人员在可执行文件中发现了硬编码的 Telegram 凭证，包括 bot token 和授权用户 ID，使得攻击者能够在隐私通信平台中隐藏命令和数据外泄行为。只有授权用户能够向受感染设备发出指令，从而形成受控环境。

该木马具备丰富功能，可通过文本命令操作。其/tokens命令可扫描 Discord 客户端及主流浏览器（Chrome、Edge、Firefox、Opera、Brave）获取验证令牌，用于劫持用户账户。/info命令可收集计算机名称、用户名、操作系统版本、处理器信息、内存和磁盘使用情况，以及本地与外部 IP 地址，系统信息以俄语显示，并带有作者签名 “by fifetka”。此外，木马可通过/screenshot和/camera拍摄桌面截图和摄像头照片，通过 Telegram 回传给攻击者。木马还具备广告与诱导功能，可在受害者浏览器中打开任意网页或显示弹窗，用于钓鱼或恶意广告。

尽管功能丰富，但木马缺乏高级反分析技术和复杂代码混淆，持久化机制存在路径构造错误，并依赖临时 PyInstaller 目录，这显示出作者技术水平有限。研究人员认为，这款 RAT 更像是一种Malware-as-a-Service（MaaS）产品，面向低阶威胁行为者，而非高级持续性威胁（APT）组织。

针对这一威胁，专家建议组织和用户采取多种防护措施，包括监控加密流量中可疑的 Telegram API 通信、使用终端防护工具监控异常进程和 Python 打包程序、教育用户核实软件来源与真实性，以及在受感染时及时隔离系统、分析本地注册表和潜在数据泄露行为。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！