Un análisis completo de Horus Eyes RAT

Análisis de malware

Un análisis completo de Horus Eyes RAT

27 de octubre de por Pedro Tavares

Mientras desarrollan continuamente nuevas técnicas para eludir los mecanismos de seguridad, los ciberdelincuentes han combinado proyectos privados y clandestinos y los han llevado a actualizar su arsenal cibernético. Horus Eyes RAT (HE-RAT) es una de las últimas herramientas utilizadas junto con el reciente troyano bancario «Varsovia» que elude los dispositivos de seguridad, AV y EDR durante su ejecución.

En este artículo, aprenderemos cómo funciona ‘varsovia’, cómo los delincuentes han utilizado Horus Eyes RAT en sus operaciones y proporcionaremos medidas generales para protegernos contra amenazas de este tipo.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Cargador de Varsovia como vehículo para desplegar HE-RAT

Horus Eyes RAT se ha utilizado en actividades de relativamente alto perfil que involucran a un nuevo troyano bancario llamado Varsovia como vehículo para implementar RAT en las máquinas de las víctimas en tiempo de ejecución. Como detalla Segurança-Informática , “el troyano banquero de Varsovia intenta engañar a las víctimas para que continúen con la cadena de infección utilizando una ventana superpuesta de un banco popular”.

La 1 a continuación muestra la primera etapa, el troyano Varsovia, lanzado como vehículo para instalar una versión modificada de HE-RAT en las máquinas de las víctimas, ya que su código fuente ahora está disponible en GitHub y los delincuentes son libres de cambiarlo.

1: Campaña maliciosa que utiliza HE-RAT para comprometer completamente las máquinas de las víctimas ( fuente ).

El troyano de Varsovia presenta una ventana emergente falsa para inducir a la víctima a descargar la segunda etapa de Internet.

2: El troyano Varsovia muestra una ventana emergente falsa para atraer a las víctimas ( fuente ).

La implementación de HE-RAT se basa en la interacción del usuario. Después de hacer clic en el botón “ Iniciar ATUALIZAÇÃO ” [“Iniciar ACTUALIZACIÓN”], el binario RAT se descarga de un dominio comprometido utilizado por los delincuentes para distribuir la amenaza en la naturaleza. Como se observa en la 3, el archivo PE se descarga en la carpeta del sistema operativo » AppData/Local/Temp » y luego se ejecuta.

3: Descarga del troyano HE-RAT en el directorio “AppData/Local/Temp” y se ejecuta en la máquina de la víctima ( fuente ).

En ese momento, la primera etapa de la cadena de infección la completa el troyano Varsovia, que descargó y ejecutó el RAT en la máquina de destino. A partir de este momento, una versión modificada de Horus Eyes RAT está lista para capturar la actividad del usuario, recopilar credenciales, controlar la navegación del usuario y permitir a los delincuentes acceso remoto a la máquina para comprometer completamente el sistema.

Modus operandi de Horus Eyes RAT

Esta muestra de HE-RAT es una iteración del código fuente de Horus Eyes RAT disponible en GitHub que la banda cibernética ha mejorado. Esta nueva versión introduce nuevas características, por ejemplo, puede ganar persistencia, recopilar detalles de la máquina de destino, capturar datos de Windows, relacionarlos con la organización bancaria de destino y ejecutar comandos remotos en la máquina (funcionalidades similares a RAT).

Como lo indica un análisis de Segurança-Informatica que comparó ambos binarios : esta nueva muestra y el código original están disponibles en GitHub; la mejora introduce algunos cambios, entre ellos:

4: Nuevas funciones introducidas por delincuentes en esta versión de HE-RAT ( fuente ).

El RAT recopila cierta información durante su ejecución, que incluye:

Como se observa en la 5, la información recopilada se organiza en un objeto de cadena y se envía al canal de Telegram a través de la llamada doSubmitHTTPRequest() .

5: Información recopilada en tiempo de ejecución y enviada al canal de Telegram controlado por delincuentes ( fuente ).

Después de este punto, los delincuentes tienen que monitorear y cruzar la información del canal de Telegram con el tablero de Horus Eyes RAT, donde están disponibles todas las máquinas infectadas.

6: Panel del servidor Horus Eyes RAT ( fuente ).

Con todas las capacidades proporcionadas por HE-RAT, los delincuentes pueden acceder de forma remota a las máquinas comprometidas, ejecutar código remoto, recopilar y robar los secretos de la víctima y hacerse pasar por la víctima para acceder a servicios legítimos en línea, como portales de banca desde casa, correo electrónico, etc.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Entendiendo la RATA Ojo de Horus

Vivimos en una era en la que el malware aparece regularmente en los titulares. En los últimos años, los delincuentes han traído muchas herramientas privadas de foros clandestinos para enriquecer su arsenal con las técnicas más avanzadas para eludir los mecanismos de seguridad, impactando así al número más significativo de objetivos. Horus Eyes RAT es la prueba real de este escenario, especialmente teniendo en cuenta la versión personalizada que describimos y analizamos durante este artículo.

Aunque no existen medidas y mitigaciones perfectas para combatir el malware en general, podemos brindarle algunas guías para mejorar la seguridad de sus dispositivos, a saber:

Fuentes