Бактерия-призрак
Image

Эта бактерия убьёт всё живое

Её ещё не существует. Нобелевские лауреаты уже в панике
Антипов объясняет — почему.

Millenium RAT: вредоносное ПО по подписке, доступное любому желающему

1788
Millenium RAT Group-IB Telegram Bot API MaaS Y2K Operators
Millenium RAT: вредоносное ПО по подписке, доступное любому желающему
Millenium RAT Group-IB Telegram Bot API MaaS Y2K Operators

Как троян за $50 захватил Windows-компьютеры по всему миру.

image

Дешевый троян удаленного доступа Millenium RAT превратился в массовый инструмент для кражи данных с Windows-компьютеров. Новая версия 4.* ушла с .NET на C++, продолжает управляться через Telegram Bot API и не требует от операторов собственной серверной инфраструктуры, говорится в исследовании Group-IB.

По данным Group-IB, специалисты нашли 62 289 зараженных устройств более чем в 160 странах. Основной рывок пришелся на первый квартал 2026 года: за три месяца Millenium RAT скомпрометировал 39 730 устройств. Аналитики связывают активную волну с кластером Y2K Operators, который использует социальную инженерию и распространяет вредоносные файлы под видом полезных архивов, генераторов, взломанных программ, игровых инструментов и фальшивых документов.

Millenium RAT продается как вредоносное ПО по подписке. Разработчик под псевдонимом ShinyEnigma продвигает троян на подпольных форумах, через собственный сайт и легальные площадки для разработчиков. Первый месяц доступа стоит $50, последующие месяцы обходятся в $10, пожизненная лицензия продается за $90. Такой ценник открывает доступ к трояну даже начинающим злоумышленникам без собственной инфраструктуры и глубоких технических навыков.

После запуска Millenium RAT загружает зашитую конфигурацию, расшифровывает ее через Base64 и XOR, а затем подключается к Telegram-боту для получения команд. Троян умеет красть данные браузеров, историю, куки, пароли, сведения о криптокошельках, файлы с рабочего стола, данные Telegram и Discord, делать снимки экрана, записывать звук, включать веб-камеру, вести кейлоггинг, запускать PowerShell и командную строку, скачивать дополнительные файлы и удаленно управлять системой.

Отдельная особенность Millenium RAT связана с маскировкой. На этапе распространения операторы используют привлекательные имена файлов вроде инструментов для взлома, генераторов подарочных карт, Roblox-наборов, кряков и OSINT-утилит. После заражения файл получает более незаметное имя: svchost.exe, MsEdgeUpdate.exe, setup.exe, update1.exe или Microsoft Antivirus.exe. Такой прием помогает вредоносной программе затеряться среди обычных процессов и папок.

В одной из кампаний Group-IB обнаружила русскоязычные PDF-приманки. Жертва запускала ярлык, замаскированный под документ, после чего PowerShell скачивал VBS-скрипт, открывал отвлекающий PDF-файл и параллельно запускал полезную нагрузку Millenium RAT в фоне. Следы скрипта затем удалялись, а открытый документ должен был убедить пользователя, что файл сработал штатно.

Несмотря на широкий набор функций, Millenium RAT не использует сложные эксплойты. Административные права троян пытается получить через обычное окно контроля учетных записей Windows, рассчитывая на согласие пользователя. Group-IB советует внимательно относиться к неожиданным запросам UAC, не запускать файлы из непроверенных источников, не работать каждый день под администраторской учетной записью и не отключать Microsoft Defender, SmartScreen и системные обновления.