Horus Eyes RAT

De Horus Eyes RAT is een volwaardige RAT-bedreiging (Remote Access Trojan) die is uitgerust met een breed scala aan bedreigende functionaliteiten. De dreiging werd aanvankelijk verkocht op een ondergronds hackerforum. Na een paar updates maakte de maker het Trojaanse paard echter openbaar door het op GitHub te publiceren. Terwijl op hun YouTube-kanaal de auteur van de Horus Eyes RAT stelt dat al hun softwareproducten zijn gemaakt voor educatieve doeleinden, lijkt dit vrij onbeduidend als cyberbendes al zijn begonnen met het toevoegen van de RAT aan hun malwarearsenalen vanwege de potentie ervan.

Technische details

De Horus Eyes RAT is gemaakt als een voortzetting van de eerdere dreiging van dezelfde auteur genaamd SPYBOXRAT. De Horus Eyes RAT beschikt over een enorm uitgebreide reeks mogelijkheden die het een nuttig hulpmiddel kunnen maken voor bijna elke hackerbende, ongeacht hun specifieke aanvalsoperaties. De RAT kan geautomatiseerde taken uitvoeren, het bestandssysteem op de gecompromitteerde systemen manipuleren, extra payloads ophalen en implementeren, gevoelige informatie verzamelen zoals gebruikersreferenties en browsegeschiedenis, geselecteerde processen beëindigen of pauzeren en nog veel meer.

De Horus Eyes RAT die wordt ingezet bij een banktrojan-aanval

Gemakkelijke toegang tot de code van de Horus Eyes RAT geeft cybercriminelen de mogelijkheid om de dreiging verder aan te passen aan hun specifieke behoeften. Er is inderdaad al waargenomen dat een aangepaste versie van de Horus Eyes RAT wordt gebruikt als een tweede-traps payload naast een voorheen onbekende banktrojan genaamd Warschau. De hackers vertrouwden op de Horus Eyes RAT om de geïnfecteerde systemen over te nemen en vervolgens betalings- en bankgegevens te verkrijgen. De dreiging scande alle geopende voorgrondvensters en vergeleek hun namen met een hardgecodeerde lijst. De dreiging verzamelde ook verschillende details over het systeem, waaronder gebruikersnamen, OS-versies, CPU-architectuur, computernaam, enz.

Als onderdeel van de nieuw toegevoegde functies introduceerden de hackers een persistentiemechanisme via een registersleutel dat ervoor zorgde dat de Trojan automatisch werd gestart bij elke systeemstart. Ze hebben ook de Horus Eyes RAT in hun infrastructuur opgenomen door de dreiging in staat te stellen om meldingen naar een Telegram-account te sturen bij het detecteren van bepaalde gebruikersacties op het gecompromitteerde apparaat.