Троян удаленного доступа Millenium RAT превратился в массовый инструмент для кражи данных с компьютеров под управлением Windows. Как следует из исследования Group-IB, специалисты компании выявили 62 289 зараженных устройств более чем в 160 странах.
По данным Group-IB, наиболее активное распространение вредоносной программы пришлось на первый квартал 2026 года. За три месяца Millenium RAT скомпрометировал 39 730 устройств. Аналитики связывают эту кампанию с кластером Y2K Operators, который распространяет вредоносные файлы с помощью методов социальной инженерии, маскируя их под полезные архивы, генераторы, взломанные программы, игровые инструменты и поддельные документы.
В Group-IB отмечают, что Millenium RAT распространяется по модели «вредоносное ПО как услуга». Его разработчик под псевдонимом ShinyEnigma рекламирует троян на подпольных форумах, собственном сайте и легальных площадках для разработчиков. Стоимость подписки составляет $50 (примерно 3,9 тыс. руб. по курсу на 30 июня 2026 года) за первый месяц, затем – $10 (786 руб.) в месяц, а пожизненная лицензия предлагается за $90 (около 7000 руб.), что делает инструмент доступным даже для начинающих злоумышленников.
После запуска троян загружает встроенную конфигурацию, расшифровывает ее и подключается к Telegram Bot API для получения команд. Вредоносная программа способна похищать данные браузеров, историю посещений, файлы cookie, пароли, информацию о криптокошельках, файлы с рабочего стола, данные Telegram и Discord, делать снимки экрана, записывать звук, включать веб-камеру, вести кейлоггинг, запускать PowerShell и командную строку, загружать дополнительные файлы и удаленно управлять зараженным компьютером.
Для маскировки операторы используют названия файлов, имитирующие программы для взлома, генераторы подарочных карт, инструменты для Roblox, кряки и OSINT-утилиты. После заражения вредоносное ПО переименовывается в svchost.exe, MsEdgeUpdate.exe, setup.exe, update1.exe или Microsoft Antivirus.exe, чтобы затеряться среди легитимных процессов Windows.
Ранее в «Лаборатории Касперского» сообщили о новом хакерском инструменте для взлома почты Gmail.