Киберпрестъпници злоупотребяват с отворения редтим инструмент RedTiger, за да изградят нов тип инфостийлър, способен да събира чувствителна информация като Discord акаунти, платежни данни, крипто портфейли и съхранени пароли в браузъра.

От инструмент за етично тестване до оръжие на нападателите

RedTiger представлява Python-базирана платформа за пентестинг под Windows и Linux, включваща функции за сканиране на мрежи, разбиване на пароли, OSINT инструменти и дори модул за създаване на зловреден софтуер. Въпреки че в GitHub проектът е отбелязан за „законна употреба“, липсата на технически ограничения позволява на престъпници лесно да го превърнат в инструмент за атаки.

Според доклад на Netskope, заплахата в момента се използва основно срещу френски потребители на Discord. Атакуващите компилират кода на RedTiger чрез PyInstaller, създавайки самостоятелни изпълними файлове, често с невинно звучащи имена, свързани с игри или Discord.

Как работи RedTiger като инфостийлър

След като заразеният файл бъде стартиран, RedTiger сканира системата за бази данни на Discord и браузъра.

• Извлича токени и идентификационни данни, проверява тяхната валидност и извлича профилна информация, имейл, статут на MFA и абонаменти.

• Инжектира злонамерен JavaScript в index.js файла на Discord, чрез който прехваща API заявки, като опити за вход, промяна на парола или извършване на плащане.

• Извлича платежна информация като PayPal и данни за кредитни карти, запазени в Discord.

От уеб браузърите си инструментът събира:

• запазени пароли, бисквитки и история,

• файлове от крипто портфейли,

• игрови акаунти и файлове от Roblox,

• и прави екранни снимки или кадри от уебкамерата.

След това събраните данни се архивират и качват в GoFile, услуга за анонимно споделяне на файлове. Линкът за сваляне и метаданни за жертвата се изпращат на нападателя чрез Discord webhook.

Техники за прикриване и затрудняване на анализ

RedTiger включва антианализиращи механизми, които спират работата на зловредния код при засичане на дебъгери или пясъчни среди. Освен това стартира стотици фалшиви процеси и създава десетки случайни файлове, за да затрудни криминалистичния анализ и откриването му от антивирусни решения.

Разпространение и защита

Макар Netskope да не е уточнил конкретни вектори за разпространение, се предполага, че заразените версии на RedTiger се разпространяват чрез:

• Discord канали,

• злонамерени сайтове за изтегляне на софтуер,

• публикации във форуми и YouTube клипове,

• или фалшиви инструменти за игри (модове, „trainers“, „boosters“).

Препоръки за защита:

• Не изтегляйте изпълними файлове от непроверени източници.

• Ако подозирате компрометиране, анулирайте Discord токените, сменете паролите и преинсталирайте клиента от официалния сайт.

• Изчистете запазените данни от браузърите и включете многофакторна автентикация (MFA) навсякъде, където е възможно.