Хакеры атакуют геймеров через читы: Powercat крадёт кошельки и аккаунты под видом легального ПО

В мире игр и развлечений разворачивается новая угроза, нацеленная не только на виртуальные ценности, но и на реальные деньги пользователей. Злоумышленники активно эксплуатируют желание игроков получить преимущество, маскируя сложный вредоносный комплекс под утилиты для популярных игр. Эта кампания, получившая название Powercat, демонстрирует, как тщательно спланированная атака может превратить загрузку якобы безобидного чита в полномасштабную компрометацию устройства с кражей финансовых данных и личной информации.

Описание

В феврале 2026 года специалисты ThreatLocker Threat Intelligence зафиксировали активную кампанию по распространению вредоносного ПО, нацеленную в первую очередь на пользователей игровых и социальных платформ, включая Roblox, Minecraft, Grand Theft Auto V, Discord и Telegram. Особенностью атаки является её многостадийность и изощрённые механизмы противодействия анализу. Вредоносная программа распространяется с домена, ранее уже отмеченного как платформа для размещения опасного кода. Часть жертв - пользователи платных сайтов с читами, что указывает на целенаправленный подбор аудитории, готовой скачивать непроверенное ПО за деньги.

Механизм атаки представляет собой чётко выстроенную цепочку заражения. Первый этап начинается с исполнения файла-дроппера, который проводит разведку системы: перечисляет запущенные процессы и принудительно завершает некоторые из них, возможно, для устранения конфликтующих программ. Затем сборщик получает имя компьютера и пользователя, после чего отправляет эти данные на управляющий сервер. Это позволяет злоумышленникам отслеживать заражённые устройства. Перед загрузкой следующих компонентов в системе создаётся рабочая директория, что является классическим приёмом для организации вредоносной активности.

Второй этап включает в себя развёртывание Java-загрузчика. На устройство жертвы загружается легальная установка Java и второй этап полезной нагрузки в виде JAR-файла, маскирующегося под инструмент для декомпиляции. Загрузчик запускается через локально установленную Java с закодированной командой, которая предписывает ему связаться с очередным этапом инфраструктуры злоумышленников. Для связи используются домены, названные по фонетическому алфавиту НАТО, что усложняет их блокировку по простым шаблонам.

Финальная стадия - доставка основной полезной нагрузки, мощного сборщика данных. Этот модуль маскируется под системные библиотеки с именами вроде "mscorlib.dll" или "nvwgf2umx.dll" и размещается в директории, связанной с игровыми функциями Windows. Перед началом своей деятельности сборщик проводит серию проверок на наличие виртуальных машин и инструментов анализа, таких как IDA или x64Dbg, и прекращает работу при их обнаружении, пытаясь избежать песочниц. Затем следует этап снятия цифрового отпечатка устройства через уникальный идентификатор в реестре Windows или на основе аппаратных характеристик, что обеспечивает корреляцию данных между этапами атаки.

Основная цель финального модуля - кража конфиденциальной информации. В первую очередь под удар попадают криптовалютные кошельки, включая Exodus, Atomic и Cake Wallet. Для конкретной версии Exodus существует отдельная функция, пытающаяся похитить сид-фразу и даже внедрить кошелёк, контролируемый атакующими. Параллельно сборщик ворует куки-файлы и сессии из популярных браузеров на базе Chromium, используя системный DPAPI для их расшифровки, что позволяет перехватывать авторизацию на сайтах.

Особое внимание уделяется игровым и социальным аккаунтам. Сборщик целенаправленно ищет данные Discord, проверяя статус MFA (многофакторной аутентификации), подписки Nitro и другие атрибуты для оценки ценности аккаунта. Аналогичным образом атакуются учётные записи Roblox и Minecraft, при этом злоумышленники особо интересуются привязанными платёжными данными. Эксперты ThreatLocker в своём отчёте указывают, что украденные игровые аккаунты часто перепродаются в зависимости от ценности внутриигрового инвентаря, а платёжная информация реализуется отдельно на теневых форумах.

Помимо сбора данных, вредоносная программа обладает функциями слежения, схожими с троянами удалённого доступа: она включает в себя кейлоггинг, захват управления мышью, запись экрана и даже активацию веб-камеры. Наличие таких возможностей, а также классификация учётных записей по возрастным группам, вызывает серьёзные опасения. Аналитики предполагают, что злоумышленники могут использовать личную информацию, в том числе для идентификации и преследования несовершеннолетних пользователей, что открывает дорогу к шантажу и вовлечению в противоправную деятельность.

Кампания Powercat наглядно демонстрирует эволюцию тактик злоумышленников, которые всё чаще встраивают свои атаки в обычные поведенческие паттерны пользователей. Маскировка под легальное, востребованное программное обеспечение для игр позволяет обойти базовую осторожность. Защита от подобных угроз требует комплексного подхода, выходящего за рамки традиционных антивирусных решений. Ключевыми мерами являются жёсткий контроль за запуском приложений по принципу "запрещено всё, что не разрешено", ограничение доступа процессов к чувствительным данным и постоянный мониторинг системы на предмет подозрительной активности, такой как неожиданное завершение процессов, запуск из нестандартных путей или манипуляции с реестром для снятия отпечатков. В конечном счёте, эта история служит очередным напоминанием о том, что в цифровом мире даже самое безобидное на первый взгляд программное обеспечение может таить в себе угрозу полной потери контроля над своими данными и финансами.