Horus Eyes RAT

Die Horus Eyes RAT ist eine vollwertige RAT (Remote Access Trojan)-Bedrohung, die mit einer Vielzahl bedrohlicher Funktionen ausgestattet ist. Die Bedrohung wurde zunächst in einem unterirdischen Hacker-Forum verkauft. Nach einigen Updates machte sein Schöpfer den Trojaner jedoch öffentlich, indem er ihn auf GitHub veröffentlichte. Während der Autor der Horus Eyes RAT auf ihrem YouTube-Kanal angibt, dass alle ihre Softwareprodukte für Bildungszwecke entwickelt wurden, scheint dies ziemlich unbedeutend, wenn Cybergangs aufgrund ihrer Potenz bereits damit begonnen haben, die RAT zu ihren Malware-Arsenalen hinzuzufügen.

Technische Details

Die Horus Eyes RAT wurde als Fortsetzung der vorherigen Bedrohung des gleichen Autors namens SPYBOXRAT erstellt. Die Horus Eyes RAT verfügt über einen massiv erweiterten Satz an Fähigkeiten, die sie zu einem nützlichen Werkzeug für fast jede Hacker-Gang machen können, unabhängig von ihren spezifischen Angriffsoperationen. Die RAT kann automatisierte Aufgaben ausführen, das Dateisystem auf den kompromittierten Systemen manipulieren, zusätzliche Nutzlasten abrufen und bereitstellen, sensible Informationen wie Benutzeranmeldeinformationen und den Browserverlauf sammeln, ausgewählte Prozesse beenden oder anhalten und vieles mehr.

Die Horus Eyes RAT wird bei einem Banking-Trojaner-Angriff eingesetzt

Der einfache Zugriff auf den Code der Horus Eyes RAT gibt Cyberkriminellen die Möglichkeit, die Bedrohung weiter an ihre speziellen Bedürfnisse anzupassen. Tatsächlich wurde bereits beobachtet, dass eine modifizierte Version der Horus Eyes RAT neben einem bisher unbekannten Banking-Trojaner namens Warsaw als Nutzlast der zweiten Stufe verwendet wird. Die Hacker verließen sich auf die Horus Eyes RAT, um die infizierten Systeme zu übernehmen und dann Zahlungs- und Bankdaten zu erhalten. Die Bedrohung scannte alle geöffneten Vordergrundfenster und verglich ihre Namen mit einer hartcodierten Liste. Die Bedrohung sammelte auch verschiedene Details über das System, einschließlich Benutzernamen, Betriebssystemversionen, CPU-Architektur, Computername usw.

Als Teil der neu hinzugefügten Funktionen führten die Hacker über einen Registrierungsschlüssel einen Persistenzmechanismus ein, der den automatischen Start des Trojaners bei jedem Systemstart sicherstellte. Sie haben auch die Horus Eyes RAT in ihre Infrastruktur integriert, indem sie die Bedrohung in die Lage versetzt haben, Benachrichtigungen an ein Telegram-Konto zu senden, wenn bestimmte Benutzeraktionen auf dem kompromittierten Gerät erkannt werden.