Новая волна атак: инфостилер RedTiger нацелился на пользователей Discord

Злоумышленники используют инструмент с открытым исходным кодом RedTiger, чтобы создать инфостилер, который собирает данные аккаунтов Discord и платежную информацию.

Данная вредоносная программа также может похищать учетные данные, сохраненные в браузере, данные криптокошельков и игровые аккаунты.

RedTiger — это набор инструментов для тестирования на проникновение на базе Python для Windows и Linux, который включает возможности сканирования сетей и подбора паролей, утилиты для OSINT, инструменты, ориентированные на Discord, и генератор вредоносного ПО.

Компонент инфостилера RedTiger обладает привычным набором функций: он может собирать информацию о системе, извлекать куки и пароли из браузеров, похищать файлы криптокошельков, игровые файлы, а также данные Roblox и Discord. Он также способен делать снимки с веб-камеры и делать скриншоты экрана жертвы.

Хотя в описании проекта на GitHub опасные функции имеют пометку «только для легитимного использования», свободное и безусловное распространение кода и отсутствие каких-либо механизмов защиты позволяют злоумышленникам легко им злоупотреблять.

Согласно отчету компании Netskope, злоумышленники теперь злоупотребляют инфостилером RedTiger, в основном нацеливаясь на владельцев аккаунтов Discord во Франции.

Атакующие скомпилировали код RedTiger с помощью PyInstaller в автономные исполняемые файлы и присвоили им названия, связанные с играми или Discord.

После установки инфостилера на компьютере жертвы он сканирует файлы баз данных Discord и браузеров. Затем с помощью регулярных выражений извлекает токены в открытом и зашифрованном виде, проверяет их действительность и получает данные профиля, адрес электронной почты, сведения о многофакторной аутентификации (MFA) и информацию о подписках.

Далее он внедряет собственный JavaScript в файл index.js клиента Discord, чтобы перехватывать API-вызовы и фиксировать события, такие как попытки входа, покупки или даже смена пароля. Также инфостилер извлекает платежную информацию (PayPal, данные кредитных карт), сохраненную в Discord.

Из веб-браузеров жертвы RedTiger похищает сохраненные пароли, куки, историю посещений, данные банковских карт и установленные расширения. Зловред также делает скриншоты рабочего стола и сканирует файловую систему в поисках файлов с расширениями .TXT, .SQL и .ZIP.

После сбора информации он архивирует файлы и загружает их в GoFile — облачное хранилище, которое разрешает анонимные загрузки. Ссылку для скачивания затем отправляют злоумышленнику через вебхук Discord вместе с метаданными о жертве.

Что касается ухода от обнаружения, RedTiger хорошо оснащен: в нем предусмотрены механизмы anti-sandbox (защита от песочниц) и завершение работы при обнаружении отладчиков. Вредонос также порождает до 400 процессов и создает 100 случайных файлов, чтобы затруднить судебно-технический анализ.

Хотя Netskope не раскрывает векторы распространения «вооруженных» сборок RedTiger, среди распространенных методов — каналы Discord, сайты с загрузками вредоносного ПО, посты на форумах, вредоносная реклама и видео на YouTube.

Пользователям следует избегать загрузки исполняемых файлов или игровых инструментов, таких как моды, «трейнеры» или «бустеры», из непроверенных источников.

Если вы подозреваете, что ваш аккаунт был скомпрометирован, аннулируйте Discord-токены, смените пароли и переустановите настольный клиент Discord с официального сайта. Также рекомендуется очистить сохраненные данные в браузерах и включить многофакторную аутентификацию (MFA).