导语:据报告,威胁者目前正滥用RedTiger的信息窃取模块,攻击目标主要集中在法国的Discord用户。
据安全研究员观察,攻击者正利用开源红队工具RedTiger,构建一款可窃取Discord账户数据与支付信息的信息窃取恶意软件。该恶意软件还能盗取浏览器中存储的凭证、加密货币钱包数据及游戏账号信息。
RedTiger是一款基于Python开发的渗透测试套件,支持Windows和Linux系统。其集成功能丰富,包括网络扫描、密码破解、开源情报(OSINT)相关工具、Discord专用工具,以及恶意软件生成器。
RedTiger中的Discord相关工具
其中的信息窃取模块具备标准窃取能力:可获取系统信息、浏览器Cookie与密码、加密货币钱包文件、游戏文件,以及Roblox和Discord相关数据。同时,它还能捕捉受害者的摄像头快照与屏幕截图。
尽管该项目在GitHub上标注其危险功能“仅允许合法使用”,但免费无限制的分发模式,加之缺乏任何防护机制,使其极易被恶意滥用。
攻击目标与传播方式:聚焦法国Discord用户
RedTiger 的恶意软件构建器
据报告,威胁者目前正滥用RedTiger的信息窃取模块,攻击目标主要集中在法国的Discord用户。攻击者通过PyInstaller将RedTiger的代码编译为独立可执行文件,并为其命名为与游戏或Discord相关的名称,以诱导用户点击。
关于该恶意软件的传播途径,尚未披露具体细节,但常见方式包括Discord频道、恶意软件下载网站、论坛帖子、恶意广告及YouTube视频。
攻击流程:多维度窃取数据,通过云存储传输
1. 植入与扫描:恶意软件植入受害者设备后,会扫描Discord相关文件与浏览器数据库文件;
2. 提取核心数据:通过正则表达式提取明文及加密的Discord令牌,验证有效性后,获取用户个人资料、邮箱、多因素认证状态与订阅信息;
3. 注入脚本拦截行为:向Discord的index.js文件注入自定义JavaScript代码,拦截API调用,捕捉登录尝试、购买操作甚至密码修改等事件,同时提取Discord中存储的支付信息(如PayPal账户、信用卡信息);
恶意软件针对的 Discord 数据
4. 拓展窃取范围:从浏览器中收集保存的密码、Cookie、浏览历史、信用卡信息及浏览器扩展程序数据,同时捕捉桌面截图,并扫描文件系统中的TXT、SQL及ZIP格式文件;
5. 数据传输:收集完所有数据后,恶意软件会将文件归档,上传至支持匿名上传的云存储服务GoFile,再通过Discord网络钩子(webhook)将下载链接与受害者元数据发送给攻击者。
反检测机制:多重手段规避分析
RedTiger具备完善的反检测能力:内置反沙箱机制,检测到调试器时会自动终止运行;同时会生成400个进程、创建100个随机文件,以此干扰取证分析工作。
在主机上发送欺骗性文件和进程来源
用户应避免从未经验证的来源下载可执行文件或游戏工具,例如模组、“修改器”或“加速器”。疑似遭入侵后,应撤销Discord令牌,修改相关密码,并从官方网站重新安装Discord桌面客户端;清除浏览器中保存的各类数据;为所有账户启用多因素认证。
文章翻译自:https://www.bleepingcomputer.com/news/security/hackers-steal-discord-accounts-with-redtiger-based-infostealer/如若转载,请注明原文地址
