Horus Eyes RAT
Horus Eyes RAT to pełnoprawne zagrożenie RAT (trojan zdalnego dostępu), które jest wyposażone w szeroki wachlarz groźnych funkcji. Zagrożenie było początkowo sprzedawane na podziemnym forum hakerskim. Jednak po kilku aktualizacjach jego twórca upublicznił trojana, publikując go w serwisie GitHub. Na swoim kanale YouTube autor Horus Eyes RAT stwierdza, że wszystkie jego produkty są tworzone w celach edukacyjnych, wydaje się to dość nieistotne, gdy cybergangi zaczęły już dodawać RAT do swoich arsenałów złośliwego oprogramowania ze względu na jego potencjał.
Szczegóły techniczne
The Horus Eyes RAT powstał jako kontynuacja poprzedniej groźby tego samego autora o nazwie SPYBOXRAT. Horus Eyes RAT może pochwalić się znacznie rozszerzonym zestawem możliwości, które mogą uczynić go użytecznym narzędziem dla prawie każdego gangu hakerskiego, niezależnie od ich konkretnych operacji ataku. RAT może wykonywać zautomatyzowane zadania, manipulować systemem plików na zaatakowanych systemach, pobierać i wdrażać dodatkowe ładunki, zbierać poufne informacje, takie jak dane uwierzytelniające użytkownika i historię przeglądania, zabijać lub wstrzymywać wybrane procesy i wiele więcej.
Horus Eyes RAT wykorzystany w ataku trojana bankowego
Łatwy dostęp do kodu Horus Eyes RAT daje cyberprzestępcom możliwość dalszego dostosowania zagrożenia do swoich konkretnych potrzeb. Rzeczywiście, zaobserwowano już, że zmodyfikowana wersja Horus Eyes RAT jest wykorzystywana jako ładunek drugiego stopnia obok nieznanego wcześniej trojana bankowego o nazwie Warsaw. Hakerzy polegali na Horus Eyes RAT, aby przejąć zainfekowane systemy, a następnie uzyskać dane uwierzytelniające płatności i dane bankowe. Zagrożenie przeskanowało wszystkie otwarte okna na pierwszym planie i porównało ich nazwy z zakodowaną na sztywno listą. Zagrożenie zebrało również różne szczegóły dotyczące systemu, w tym nazwy użytkowników, wersje systemu operacyjnego, architekturę procesora, nazwę komputera itp.
W ramach nowo dodanych funkcji hakerzy wprowadzili mechanizm trwałości za pomocą klucza rejestru, który zapewniał automatyczne uruchamianie trojana przy każdym uruchomieniu systemu. Włączyli również Horus Eyes RAT do swojej infrastruktury, umożliwiając zagrożeniu wysyłanie powiadomień na konto Telegrama po wykryciu pewnych działań użytkownika na zaatakowanym urządzeniu.
