Horus Eyes RAT

Le Horus Eyes RAT est une menace RAT (Remote Access Trojan) à part entière dotée d'une vaste gamme de fonctionnalités menaçantes. La menace a d'abord été vendue sur un forum de hackers clandestins. Cependant, après quelques mises à jour, son créateur a rendu le cheval de Troie public en le publiant sur GitHub. Alors que sur leur chaîne YouTube, l'auteur de Horus Eyes RAT déclare que tous leurs produits logiciels sont créés à des fins éducatives, cela semble assez insignifiant lorsque les cybergangs ont déjà commencé à ajouter le RAT à leurs arsenaux de logiciels malveillants en raison de sa puissance.

Détails techniques

Le Horus Eyes RAT a été créé dans la continuité de la menace précédente du même auteur nommé SPYBOXRAT. Le Horus Eyes RAT dispose d'un ensemble de capacités considérablement étendu qui peut en faire un outil utile pour presque tous les gangs de pirates, quelles que soient leurs opérations d'attaque spécifiques. Le RAT peut effectuer des tâches automatisées, manipuler le système de fichiers sur les systèmes compromis, récupérer et déployer des charges utiles supplémentaires, collecter des informations sensibles telles que les informations d'identification de l'utilisateur et l'historique de navigation, tuer ou mettre en pause des processus sélectionnés et bien plus encore.

Le Horus Eyes RAT employé dans une attaque de cheval de Troie bancaire

Avoir un accès facile au code du Horus Eyes RAT donne aux cybercriminels la possibilité de personnaliser davantage la menace en fonction de leurs besoins particuliers. En effet, une version modifiée du Horus Eyes RAT a déjà été observée comme étant utilisée comme charge utile de deuxième étape aux côtés d'un cheval de Troie bancaire jusqu'alors inconnu nommé Warsaw. Les pirates se sont appuyés sur le Horus Eyes RAT pour prendre en charge les systèmes infectés, puis obtenir les informations de paiement et bancaires. La menace a analysé toutes les fenêtres de premier plan ouvertes et a comparé leurs noms à une liste codée en dur. La menace a également collecté divers détails sur le système, notamment les noms d'utilisateur, les versions du système d'exploitation, l'architecture du processeur, le nom de l'ordinateur, etc.

Dans le cadre des nouvelles fonctionnalités ajoutées, les pirates ont introduit un mécanisme de persistance via une clé de registre qui assurait le démarrage automatique du cheval de Troie à chaque démarrage du système. Ils ont également intégré le Horus Eyes RAT dans leur infrastructure en rendant la menace capable d'envoyer des notifications à un compte Telegram lors de la détection de certaines actions de l'utilisateur sur l'appareil compromis.