Powercat: вредоносный софт под видом читов для игр

Powercat: в феврале 2026 года зафиксирована скоординированная вредоносная кампания, в которой malware маскируется под читерское software для популярных видеоигр и приложений. Атака нацелена прежде всего на пользователей Roblox, Minecraft, Grand Theft Auto V, а также Discord и Telegram, используя интерес к игровым platform и сервисам с высокой вовлечённостью.

Как работает цепочка заражения

Кампания использует многоэтапную схему compromise, начинающуюся с исполняемого файла 3k3uklt.exe. После запуска начальная payload:

• перечисляет запущенные processes;
• принудительно завершает все обнаруженные связанные game processes;
• собирает имя хоста и имя пользователя системы;
• передаёт эти данные на server управления через POST-request.

Следующий этап строится вокруг Java-based loader. Для этого злоумышленники загружают legitimate Java installer и размещают его рядом с вредоносным JAR-файлом jd-gui.jar. Затем loader запускается с определёнными command arguments, которые активируют дальнейшие действия и переводят атаку в фазу information stealer.

Что собирает стиллер

На заключительном этапе активируется JAR, содержащий information stealer, предназначенный для сбора конфиденциальных данных с различных platform. Основной интерес вредоносного ПО — активные cryptocurrency wallet installations и gaming accounts.

Стиллер использует механизмы anti-sandbox, чтобы избежать обнаружения. Он проверяет virtual environments, а также распространённые tools анализа malware и завершает работу при их обнаружении, что усложняет dynamic analysis.

В числе целевых данных:

• информация о wallet из установленных cryptocurrency wallet applications;
• session cookies из Chromium-based browsers с использованием Windows Data Protection API для расшифровки;
• tokens account в случае установки Discord;
• сведения об атрибутах безопасности, включая статус Multi-Factor Authentication и verification data.

Охота за игровыми аккаунтами и платёжными данными

Кампания Powercat расширяет фокус и на игровые аккаунты, оценивая их коммерческую ценность. В частности, вредоносное ПО ищет атрибуты, связанные со стоимостью accounts, включая payment information и inventory в Roblox и Minecraft.

Украденные accounts затем могут перепродаваться на рынках Dark Web, особенно если они содержат чувствительную payment information. Это делает кампанию не только инструментом кражи данных, но и частью более широкой теневой экономики перепродажи доступа.

Дополнительные функции и риск для жертв

В malware также встроены функции, характерные для traditional remote access tools, в том числе:

• Keystroke logging;
• capture from webcam.

Эти возможности позволяют оценивать активность пользователя и избегать обнаружения во время работы. Отдельную обеспокоенность вызывает нацеливание на accounts, принадлежащие детям: в таких сценариях украденные данные могут быть использованы для pressure и exploitation, что создаёт серьёзные риски для privacy и безопасности.

Вывод

Powercat демонстрирует, что user-initiated downloads остаются значимым vector риска в современной cyberthreat landscape. Сочетание вредоносного ПО с seemingly legitimate software показывает, насколько опасны deceptive delivery methods и насколько сложно защищаться от кампаний, построенных на доверии пользователей к популярным gaming platform и сервисам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.