Saldırganlar, Discord hesap verilerini ve ödeme bilgilerini toplayan bir bilgi hırsızı oluşturmak için açık kaynaklı kırmızı takım aracı RedTiger’ı kullanıyor.
Kötü amaçlı yazılım ayrıca tarayıcıda depolanan kimlik bilgilerini, kripto para birimi cüzdan verilerini ve oyun hesaplarını da çalabilir.
RedTiger, ağları taramak ve şifreleri kırmak için seçenekleri, OSINT ile ilgili yardımcı programları, Discord odaklı araçları ve kötü amaçlı yazılım oluşturucuyu bir araya getiren, Windows ve Linux için Python tabanlı bir sızma testi paketidir.
Kaynak: GitHub
RedTiger’ın bilgi hırsızı bileşeni, sistem bilgilerini, tarayıcı çerezlerini ve şifrelerini, kripto cüzdan dosyalarını, oyun dosyalarını ve Roblox ve Discord verilerini ele geçirmek için standart yetenekler sunar. Ayrıca kurbanın ekranının web kamerası anlık görüntülerini ve ekran görüntülerini de yakalayabilir.
Proje, tehlikeli işlevlerini GitHub’da “yalnızca yasal kullanım” olarak işaretlese de, ücretsiz ve koşulsuz dağıtımı ve herhangi bir korumanın bulunmaması, kolayca kötüye kullanıma izin veriyor.
Kaynak: GitHub
Netskope’tan gelen bir rapora göre, tehdit aktörleri artık RedTiger’ın bilgi hırsızlığı bileşenini öncelikle Fransız Discord hesap sahiplerini hedef almak amacıyla kötüye kullanıyor.
Saldırganlar, bağımsız ikili dosyalar oluşturmak için PyInstaller’ı kullanarak RedTiger’ın kodunu derlediler ve bu dosyalara oyun veya Discord ile ilgili adlar verdiler.
Bilgi hırsızı kurbanın makinesine yüklendikten sonra Discord ve tarayıcı veritabanı dosyalarını tarar. Daha sonra normal ifade aracılığıyla düz ve şifrelenmiş belirteçleri çıkarır, belirteçleri doğrular ve profili, e-postayı, çok faktörlü kimlik doğrulamayı ve abonelik bilgilerini çeker.
Daha sonra, API çağrılarını engellemek ve giriş denemeleri, satın alma işlemleri ve hatta şifre değişiklikleri gibi olayları yakalamak için Discord’un index.js dosyasına özel JavaScript enjekte ediyor. Ayrıca Discord’da saklanan ödeme bilgilerini (PayPal, kredi kartları) da çıkarır.
Kaynak: Netskope
RedTiger, kurbanın web tarayıcılarından kayıtlı şifreleri, çerezleri, geçmişi, kredi kartlarını ve tarayıcı uzantılarını toplar. Kötü amaçlı yazılım ayrıca masaüstü ekran görüntülerini yakalar ve dosya sistemindeki .TXT, .SQL ve .ZIP dosyalarını tarar.
Kötü amaçlı yazılım, verileri topladıktan sonra dosyaları arşivler ve bunları anonim yüklemelere izin veren bir bulut depolama hizmeti olan GoFile’a yükler. İndirme bağlantısı daha sonra kurbanın meta verileriyle birlikte Discord web kancası aracılığıyla saldırgana gönderilir.
Kaçınma konusunda RedTiger iyi donanımlıdır, anti-sandbox mekanizmaları içerir ve hata ayıklayıcılar tespit edildiğinde sona erer. Kötü amaçlı yazılım ayrıca 400 işlem üretiyor ve adli analize aşırı yük bindirmek için 100 rastgele dosya oluşturuyor.
Kaynak: Netskope
Netskope, silah haline getirilmiş RedTiger ikili dosyaları için açık dağıtım vektörlerini paylaşmasa da bazı yaygın yöntemler arasında Discord kanalları, kötü amaçlı yazılım indirme siteleri, forum gönderileri, kötü amaçlı reklamlar ve YouTube videoları yer alıyor.
Kullanıcılar, doğrulanmamış kaynaklardan çalıştırılabilir dosyaları veya modlar, “eğiticiler” veya “güçlendiriciler” gibi oyun araçlarını indirmekten kaçınmalıdır.
Güvenliğin ihlal edildiğinden şüpheleniyorsanız Discord belirteçlerini iptal edin, şifreleri değiştirin ve Discord masaüstü istemcinizi resmi siteden yeniden yükleyin. Ayrıca kayıtlı verileri tarayıcılardan temizleyin ve MFA’yı her yerde etkinleştirin.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.