Horus Eyes RAT

Horus Eyes RAT es una amenaza RAT (troyano de acceso remoto) en toda regla que está equipada con una amplia gama de funcionalidades amenazantes. La amenaza se vendió inicialmente en un foro clandestino de piratas informáticos. Sin embargo, después de un par de actualizaciones, su creador hizo público el troyano al publicarlo en GitHub. Mientras que en su canal de YouTube, el autor de Horus Eyes RAT afirma que todos sus productos de software se crean con fines educativos, esto parece bastante insignificante cuando las bandas cibernéticas ya han comenzado a agregar RAT a sus arsenales de malware debido a su potencia.

Detalles técnicos

El Horus Eyes RAT fue creado como una continuación de la amenaza anterior del mismo autor llamado SPYBOXRAT. Horus Eyes RAT cuenta con un conjunto de capacidades enormemente ampliado que puede convertirlo en una herramienta útil para casi cualquier banda de piratas informáticos, independientemente de sus operaciones de ataque específicas. El RAT puede realizar tareas automatizadas, manipular el sistema de archivos en los sistemas comprometidos, buscar e implementar cargas útiles adicionales, recolectar información confidencial como las credenciales de usuario y el historial de navegación, detener o pausar procesos seleccionados y mucho más.

La RAT de Horus Eyes empleada en un ataque troyano bancario

Tener fácil acceso al código de Horus Eyes RAT brinda a los ciberdelincuentes la oportunidad de personalizar aún más la amenaza de acuerdo con sus necesidades particulares. De hecho, ya se ha observado que una versión modificada de Horus Eyes RAT se utiliza como carga útil de segunda etapa junto con un troyano bancario previamente desconocido llamado Varsovia. Los piratas informáticos confiaron en Horus Eyes RAT para hacerse cargo de los sistemas infectados y luego obtener credenciales bancarias y de pago. La amenaza escaneó cualquier ventana abierta en primer plano y comparó sus nombres con una lista codificada. La amenaza también recopiló varios detalles sobre el sistema, incluidos nombres de usuario, versiones del sistema operativo, arquitectura de la CPU, nombre de la computadora, etc.

Como parte de las características recién agregadas, los piratas informáticos introdujeron un mecanismo de persistencia a través de una clave de registro que aseguraba el inicio automático del troyano en cada inicio del sistema. También incorporaron Horus Eyes RAT en su infraestructura al hacer que la amenaza sea capaz de enviar notificaciones a una cuenta de Telegram al detectar ciertas acciones del usuario en el dispositivo comprometido.