Povestea de azi tratează un instrument open-source folosit pentru testări de securitate, RedTiger, care a fost transformat de atacatori într-un infostealer ce țintește în special conturile Discord și datele de plată ale utilizatorilor. Descoperirea vizează utilizarea acestui tool pe calculatoare cu Windows și Linux, iar atacurile par a fi direcționate în mod special către utilizatori din Franța, potrivit analizelor publicate.
RedTiger a apărut în comunitatea de securitate ca un pachet de utilitare pentru red-team și pen-test, scris în Python, ce cuprinde scanări de rețea, unelte de spargere parole, utilități OSINT și un set de instrumente dedicate Discord. Pe GitHub autorii etichetează funcțiile riscante ca fiind pentru „utilizare legală”, însă distribuirea liberală și absența mecanismelor de protecție facilitează abuzurile. Ce s-a întâmplat a fost previzibil: infractorii au preluat componenta infostealer din RedTiger, au compilat codul cu PyInstaller pentru a obține executabile autonome și le-au denumit ca și cum ar fi programe sau instrumente pentru gaming și Discord, pentru a înșela victimele.
Odată instalat pe sistemul victimei, infostealer-ul scanează fișierele Discord și bazele de date ale browserelor. Extrage token-uri, atât în clar, cât și criptate, folosind expresii regulate, le validează și colectează informații de profil: adresa de email, setările MFA, tipul abonamentului. În plus, injectează cod JavaScript în fișierul index.js al clientului Discord pentru a intercepta apeluri API și evenimente precum autentificări, achiziții sau modificări de parolă. Astfel poate obține și date de plată stocate în Discord, cum ar fi conturi PayPal sau detalii ale cardurilor. Din browsere extrage parole salvate, cookies, istoricul, detalii ale cardurilor și extensiile instalate. Malware-ul mai realizează capturi de ecran, fotografii cu webcamul și caută fișiere cu extensiile .TXT, .SQL sau .ZIP pe disc.
După colectare, datele sunt arhivate și încărcate pe GoFile, un serviciu de stocare în cloud care permite upload anonim; linkul de descărcare este apoi trimis atacatorului printr-un webhook Discord, însoțit de metadatele victimei. Pentru a evita analiza și detectarea, RedTiger include funcții de evaziune: mecanisme anti-sandbox, oprire în prezența debuggerelor, iar unele comportamente par concepute pentru a obosi analiza forenzică, generează sute de procese și creează zeci de fișiere aleatorii pentru a aglomera sistemul gazdă.
Netskope, care a semnalat aceste abuzuri, nu a oferit detalii exacte privind pașii de distribuție ai binarelor modificate, dar metodele obișnuite rămân: canale Discord, site-uri care găzduiesc software malițios, postări pe forumuri, malvertising sau videoclipuri YouTube care promovează programe piratate ori „instrumente” pentru jocuri. Recomandarea de bază pentru utilizatori este să evite descărcarea executabilelor sau a uneltelor de tip mod, trainer sau booster din surse neconfirmate. Dacă există suspiciunea unei compromiteri, este indicat să revocați token-urile Discord, să schimbați parolele, să reinstalați clientul Discord de pe site-ul oficial, să curățați datele salvate din browsere și să activați autentificarea multi-factor oriunde este posibil.
RedTiger demonstrează din nou cât de ușor un instrument destinat testării poate fi transformat într-o armă pentru furt de identitate și bani digitali. Exemple din raportul Netskope ilustrează capacitatea de a extrage token-uri Discord valide, de a intercepta tranzacții și de a folosi GoFile pentru exfiltrare anonimă. Aceste detalii conturează o amenințare reală: nu e nevoie de un atac sofisticat ca în filme, ci de combinația dintre cod open-source accesibil și tehnici simple de inginerie socială. Ce se poate face realist: verificați sursa fișierelor descărcate, mențineți MFA activat și fiți precauți cu fișiere care promit „boost” pentru jocuri sau funcții Discord prea bune pentru a fi adevărate.
Raportul menționează fluxuri concrete precum injectarea în index.js al Discord, PyInstaller ca metodă de distribuție și GoFile pentru stocare anonimă, informații utile pentru înțelegerea modului de operare al atacatorilor. Cum v-ați verifica conturile și datele dacă ați afla că v-a fost compromis un token Discord?
Fii primul care comentează