Horus Eyes RAT

Horus Eyes RATは、さまざまな脅威機能を備えた本格的なRAT（リモートアクセストロイの木馬）脅威です。この脅威は当初、地下のハッカーフォーラムで販売されていました。ただし、いくつかの更新の後、その作成者はGitHubで公開することにより、トロイの木馬を公開しました。 Horus Eyes RATの作者は、YouTubeチャンネルで、すべてのソフトウェア製品が教育目的で作成されていると述べていますが、サイバーギャングがマルウェアの武器庫にRATを追加し始めている場合、その効力のためにこれは非常に重要ではないようです。

技術的な詳細

Horus Eyes RATは、SPYBOXRATという同じ作者の以前の脅威からの継続として作成されました。 Horus Eyes RATは、特定の攻撃操作に関係なく、ほとんどすべてのハッカーギャングにとって便利なツールとなる、大幅に拡張された一連の機能を誇っています。 RATは、自動化されたタスクの実行、侵害されたシステム上のファイルシステムの操作、追加のペイロードのフェッチと展開、ユーザーの資格情報や閲覧履歴などの機密情報の収集、選択したプロセスの強制終了または一時停止などを実行できます。

バンキング型トロイの木馬攻撃で採用されたホルスの目RAT

Horus Eyes RATのコードに簡単にアクセスできるため、サイバー犯罪者は特定のニーズに応じて脅威をさらにカスタマイズすることができます。実際、Horus Eyes RATの修正バージョンは、ワルシャワという名前のこれまで知られていなかったバンキング型トロイの木馬と一緒に、第2段階のペイロードとして使用されることがすでに観察されています。ハッカーは、Horus Eyes RATを利用して感染したシステムを乗っ取り、支払いと銀行の資格情報を取得しました。脅威は開いている前景ウィンドウをスキャンし、それらの名前をハードコードされたリストと比較しました。この脅威は、ユーザー名、OSバージョン、CPUアーキテクチャ、コンピューター名など、システムに関するさまざまな詳細も収集しました。

新しく追加された機能の一部として、ハッカーはレジストリキーを介して永続性メカニズムを導入し、システムの起動ごとにトロイの木馬が自動的に起動するようにしました。また、侵害されたデバイスで特定のユーザーアクションを検出すると、脅威がTelegramアカウントに通知を送信できるようにすることで、Horus EyesRATをインフラストラクチャに組み込みました。