Хакеры используют утилиту RedTiger для атак на владельцев Discord-аккаунтов и похищения финансовых данных

Эксперты из Netskope выявили масштабное злоупотребление инструментом RedTiger, изначально созданным для тестирования проникновений, но превращённым в полноценный механизм кибератак. Злоумышленники на его базе разрабатывают инфостилеры, которые массово крадут данные пользователей Discord, а также вытягивают платёжную информацию, содержимое криптовалютных кошельков, логины из браузеров и файлы, связанные с игровыми сервисами.

RedTiger изначально позиционировался как легальный инструмент для пентестов, предназначенный для платформ Windows и Linux. Он объединяет средства для сетевого сканирования, взлома паролей, инструменты OSINT, Discord-ориентированные модули и генератор вредоносных исполняемых файлов.

Но бесплатный доступ к исходному коду, размещённому на GitHub, создал почву для использования инструмента не по назначению. Отсутствие ограничений, обязательных лицензий и каких-либо механизмов контроля позволило хакерам перепрофилировать RedTiger в полноценный канал для кражи данных.

В отчёте Netskope уточняется, что сейчас вредонос активно применяется для атак на пользователей Discord, преимущественно во Франции. Преступники компилируют RedTiger с помощью PyInstaller, придавая ему вид автономного исполняемого файла. Такие файлы маскируются под приложения, связанные с играми или Discord, чтобы не вызвать подозрений у жертвы.

После установки на устройство инфостилер запускает сканирование баз данных Discord и браузеров. С помощью регулярных выражений он находит токены, идентификаторы сессий и зашифрованные ключи. Далее вредонос проверяет их подлинность, получает доступ к электронным адресам, подпискам, данным двухфакторной аутентификации и внутреннему профилю пользователя.

Одновременно активируется модификация системных файлов Discord: вредонос внедряет собственный JavaScript-код в файл index.js, через который начинает перехватывать взаимодействие с API. Это позволяет отслеживать входы в аккаунт, операции с банковскими картами, попытки изменения паролей и иные действия пользователя. Помимо данных аккаунта, стягиваются платёжные сведения, включая номера кредитных карт и PayPal-учётки, если они были сохранены в клиенте Discord.

Кроме этого, RedTiger сканирует браузеры на наличие сохранённых паролей, истории посещений, куки-файлов и расширений. Инфостилер также отслеживает типовые форматы файлов, такие как .TXT, .SQL и .ZIP, и делает снимки экрана рабочего стола пользователя. Отдельный модуль даёт возможность использовать веб-камеру для незаметной фиксации изображений.

Когда все данные собраны, вредонос формирует архив и выгружает его в облачное хранилище GoFile, поддерживающее анонимную загрузку. После этого ссылка на файл вместе с техническими сведениями о заражённом устройстве отправляется атакующему через Discord-вебхук.