Hack Alerta

Millenium RAT reescrito em C++ infecta mais de 62 mil dispositivos em 160 países

Group-IB revela Millenium RAT reescrito em C++ com 62 mil infecções. Análise de táticas Y2K Operators, comunicação via Telegram e recomendações de defesa.

Evolução da ameaça Millenium RAT

Um trojano de acesso remoto conhecido como Millenium RAT tem se espalhado silenciosamente pelo mundo, e os números são difíceis de ignorar. Mais de 62.000 dispositivos foram comprometidos em mais de 160 países, sem sinais de desaceleração. Mais de 39.000 dessas infecções aconteceram apenas no primeiro trimestre de 2026, apontando para uma operação que está escalando ativamente. O malware apareceu pela primeira vez em um relatório de ameaça da CYFIRMA em novembro de 2023, inicialmente rastreado como versão 2.4. Desde então, passou por uma transformação significativa.

Os atores de ameaça migraram para a versão 4, que carrega uma base técnica completamente reconstruída e uma gama mais ampla de capacidades visando máquinas Windows em todo o mundo. Analistas da Group-IB atribuíram a exploração ativa a um cluster que chamam de Y2K Operators. O desenvolvedor do malware opera sob o handle "shinyenigma" e promove abertamente o tool em fóruns subterrâneos e plataformas como GitHub.

Arquitetura técnica e comunicação

A mudança mais significativa na versão 4 é sua reescrita completa de .NET para C++ nativo. Isso remove a dependência de .NET na máquina da vítima e torna o malware mais difícil de detectar. Ele se comunica com os operadores através da API do Bot do Telegram, disfarçando o tráfego de comando e controle como atividade web normal sem servidor dedicado necessário. Uma vez executado, o RAT carrega uma configuração criptografada de um recurso de arquivo embutido, contendo o token do bot do Telegram, ID do chat, configurações de persistência e opções de keylogger.

Os dados são codificados em Base64 e protegidos com um algoritmo XOR personalizado, com dados aleatórios extras adicionados para alterar o hash do arquivo e contornar a detecção baseada em assinatura. As capacidades do RAT são amplas: pode roubar credenciais e cookies do navegador, capturar screenshots e imagens da webcam, gravar áudio, registrar digitação, extrair dados de sessão do Telegram e Discord, e criptografar os arquivos da vítima.

Táticas de entrega e engenharia social

Os Y2K Operators dependem inteiramente de engano para colocar o Millenium RAT nas máquinas das vítimas. Arquivos são disfarçados como geradores de cartão de crédito, verificadores de saldo de cripto, kits de hacking, software crackeado e utilitários de jogos. Um tática particularmente ousada é tomar RATs e construtores de exploits conhecidos, incorporar silenciosamente um backdoor e redistribuir os arquivos adulterados. Um atacante em potencial baixa o que parece ser uma ferramenta funcional e é infectado em vez disso.

Após a infecção, o payload se mistura usando nomes como svchost.exe, MsEdgeUpdate.exe e Microsoft Antivirus.exe. Os usuários são aconselhados a tratar prompts UAC inesperados como suspeitos, evitar a execução de arquivos de fontes não confiáveis, usar uma conta de não-administrador para tarefas diárias, manter sistemas atualizados e habilitar autenticação multifator para limitar danos se credenciais forem capturadas.

Indicadores de Comprometimento (IoCs)

Os seguintes indicadores foram identificados e devem ser monitorados em ambientes corporativos:

  • URLs de Entrega: hxxp://158[.]94[.]208[.]168/files/8514679081/DRTjyu7[.]exe, hxxps://www[.]thesnapchatmodapk[.]com/update1[.]exe
  • Domínios: 75877[.]mcdir[.]me (Proxy Telegram Bot API), blackhatusa[.]com (Distribuição de RATs), milleniumrat[.]online (Site promocional)
  • Hashes SHA-256: 1d699a46339626db299548e32ed3a77eec267840c3de39b49caf38b88aeb150d, 2267d05dbd5e30c6dfcdde25731280dd755e689faa684bd21cfbef5281fd3e86
  • Chaves de Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run (Persistência)

Recomendações para Executivos de Segurança

Diante da escalada do Millenium RAT, as seguintes medidas são recomendadas:

  • Controle de Aplicativos: Implementar soluções de controle de aplicativos para bloquear a execução de binários não autorizados.
  • Monitoramento de Rede: Detectar comunicações com domínios de bot do Telegram e IPs associados ao Y2K Operators.
  • Conscientização: Treinar usuários para identificar arquivos suspeitos e evitar downloads de fontes não oficiais.
  • Resposta a Incidentes: Ter playbooks atualizados para contenção de RATs e recuperação de sistemas infectados.

Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.