RedTiger: кроссплатформенный стиллер, угроза аккаунтам Discord
RedTiger — недавно обнаруженный стиллер информации с открытым исходным кодом, который уже зарекомендовал себя как серьезная угроза, особенно для геймеров и аккаунтов Discord. Инструмент активно внедрялся в дикой природе, и исследователи зафиксировали несколько полезных нагрузок, подтверждающих его реальную эксплуатацию.
«RedTiger стал серьезной угрозой, особенно для геймеров и аккаунтов Discord.»
Механизм работы
Стиллер использует двухэтапный процесс эксфильтрации данных:
- Собранные данные сначала архивируются.
- Архив загружается в облачное хранилище GoFile, после чего злоумышленнику отправляется ссылка для скачивания через Discord webhook.
Наличие французских строк в некоторых предупреждающих сообщениях позволяет предположить, что среди целевых жертв — франкоязычные пользователи.
Кроссплатформенность и сборка
Все наблюдаемые образцы RedTiger скомпилированы в виде двоичных файлов с использованием PyInstaller, что указывает на широкие возможности для запуска на разных платформах: Windows, Linux и macOS (Darwin).
Поведение на платформах
- Windows: реализуется закрепление — полезная нагрузка помещается в папку автозагрузки, обеспечивая выполнение при входе пользователя в систему.
- Linux: скрипт переносится в папку автозапуска, но отсутствует необходимый файл .desktop, чтобы гарантировать выполнение при старте сессии.
- macOS (Darwin): целится в папку LaunchAgents, однако не включает конфигурацию .plist для корректного автозапуска при входе в систему.
Целевые данные
RedTiger направлен на широкий спектр конфиденциальной информации:
- Данные аккаунтов Discord, включая учетные данные и платежную информацию.
- Discord tokens — как обычные, так и зашифрованные токены, которые извлекаются с помощью регулярных выражений из соответствующих файлов баз данных.
- Файлы, связанные с криптовалютными кошельками.
- Данные, относящиеся к игровым приложениям (game-related data).
- Данные браузера: сохраненные пароли, файлы cookie и информация о кредитных картах из множества браузеров.
- Файлы из профилей пользователей, содержащие ключевые слова, которые затем архивируются.
Дополнительные опасности и поведение
- Массовая рассылка и spam: инструмент способен осуществлять массовую рассылку файлов и создавать процессинговый спам, что усложняет судебно-медицинский анализ за счёт множества несущественных артефактов в системе.
- Методы обхода защиты: при обнаружении идентификаторов, связанных с изолированными средами (sandbox/VM), стиллер завершает свою работу, чтобы усложнить анализ и обнаружение.
- Захват визуальной информации: RedTiger способен делать снимки с веб-камеры и захватывать экран рабочего стола, используя библиотеки OpenCV и Pillow, что увеличивает объём собираемой конфиденциальной информации.
Итог и ситуация для сообщества
Поскольку RedTiger продолжает развиваться и распространяться, его разработка и внедрение остаются под пристальным наблюдением сообщества по кибербезопасности. Комбинация кроссплатформенности, обширного набора целевых данных, возможностей для визуального шпионажа и приёма обхода анализа делает этот стиллер заметной угрозой для пользователей, особенно тех, кто активно пользуется игровыми сервисами и Discord.
Безопасность и мониторинг остаются ключевыми задачами для специалистов и пользователей в связи с дальнейшей эволюцией этого инструмента.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
