RedTiger adlı yeni bir veri çalan KÖTÜ AMAÇLI YAZILIM, siber suçlular tarafından popüler sohbet platformu Discord’daki oyuncuları hedeflemek için kullanılıyor. Siber güvenlik firması Netskope, bu hedefli kampanyayı geçen hafta bildirdi ve şimdilik odak noktasının Fransız Discord kullanıcıları olduğunu belirtti.
Araştırmacılara göre, başlangıçta güvenlik testleri için tasarlanan bu açık kaynaklı Python tabanlı araç, ne yazık ki siber suçlular tarafından bir bilgi hırsızı oluşturmak için benimsendi.
RedTiger’ın Çaldığı Şeyler
RedTiger, uygulamaya kendi kodunu ekleyerek öncelikle Discord hesabınızı ve tarayıcı veritabanlarınızı hedeflemek için tasarlanmıştır. Kötü amaçlı yazılım, kimlik doğrulama jetonlarınızdan (hesabınız için dijital anahtarlar) başlayarak kullanıcı adınız, e-postanız, güvenlik ayarlarınız (MFA) ve abonelik düzeyiniz gibi ayrıntıları ele geçirmek için farklı türde verileri çalabilir.
Daha da önemlisi, Discord’da kayıtlı banka ödeme bilgilerini (kredi kartları ve PayPal gibi) çalar. Ancak uzun süreli erişim için RedTiger, Discord programının kendisini tüm etkinlikleri sessizce izleyecek şekilde değiştirir. Bu, Discord şifrenizi değiştirseniz bile kötü amaçlı yazılımın yeni kimlik bilgilerinizi ve jetonlarınızı ele geçirip çalabileceği anlamına gelir.
RedTiger, Discord dışında kayıtlı tarayıcı verilerini (şifreler, ödeme bilgileri), oyun dosyalarını (örn. Roblox), kripto para birimi cüzdan bilgilerini, ekran görüntülerini de çalar ve web kameranızı kullanarak gizlice fotoğraf çekebilir. Netspoke’un analizi, saldırganların çoğunlukla oyuncuları, özellikle de Fransızca konuşan kullanıcıları hedef aldığını gösteriyor.
Kaçınma ve Kalıcılık
Bir makineye virüs bulaştığında RedTiger hızla verileri çalar ve etkinliğini gizler. Süreç iki aşamada gerçekleşir. İlk olarak, kötü amaçlı yazılım çalınan tüm verileri topluyor, sıkıştırıyor ve dosyanın tamamını anonim dosya paylaşım sitesi GoFile’a yüklüyor.
Daha sonra, çalınan verilere indirme bağlantısını ve kurbanın bilgisayarıyla ilgili IP adresi, ülke ve ana bilgisayar adı dahil önemli ayrıntıları ileten otomatik bir mesaj sistemi olan Discord web kancası aracılığıyla saldırgana gizli bir uyarı gönderir.
Blog yazılarında araştırmacılar, aracın tespit edilmekten kaçınmak için tasarlandığını, çünkü hata ayıklayıcılar veya adli ortamlar gibi güvenlik araçlarını tespit ederse hemen kapandığını belirtti. Ayrıca RedTiger, izlerini gizlemek için “toplu dosya ve spam işleme” adı verilen, yaklaşık 100 rastgele dosya oluşturan ve aynı anda yaklaşık 400 farklı programı başlatan bir hile kullanıyor. Netskope araştırmacıları bunun “zaman çizelgesini anlamsız eserlerle doldurarak adli analizleri engellemek” için yapıldığını gözlemledi.
Kötü amaçlı yazılım ayrıca, yeniden başlatmalardan sağ çıkabilmek için Windows, Linux ve macOS (Darwin) sistemlerinde kullanılabilen bir kalıcılık mekanizması da içerir. Windows’ta, oturum açma sırasında otomatik olarak çalışacak şekilde yükü başlangıç klasörüne ekleyerek tamamen işlevseldir. Komut dosyası kendisini Linux ve macOS’ta otomatik başlatılan klasörlere kopyalasa da, bu özellik şu anda eksik olduğundan son yapılandırma dosyaları olmadan yürütülemiyor.
Uzman Analizi:
RedTiger’ın yükselişi, meşru araçların kötü niyetli araçlara dönüştüğü rahatsız edici bir eğilimi gösteriyor. DeepTempo’nun Kurucu Yapay Zeka Mühendisi Mayank Kumar, bu gelişmeyle ilgili görüşlerini şu şekilde paylaştı:
“Kötü niyetli aktörler, aynı meşru araçları saldırı operasyonları için serbestçe denetleyebilir, değiştirebilir ve yeniden tasarlayabilir… Saldırganlar, aracın veri toplamaya yönelik amaçlanan yeteneklerinden etkili bir şekilde yararlanıyor ve onu sosyal mühendislik tuzaklarıyla yeniden paketliyor.”
“Bu tür bir kampanya, erişim sağlamak için kötü amaçlı yazılımı görünürde zararsız uygulamalar içinde saklayan teknik beceri ve psikolojik hilelerin bir karışımına dayanır. Kumar, bu olayın “kimlik bilgisi hırsızlığının etkisini ve istenmeyen yazılımlara karşı güçlü kullanıcı şüphesini azaltmak için çok faktörlü kimlik doğrulamaya (MFA) yönelik kritik ihtiyacı güçlendirdiğini” vurguluyor.
Uzmanlar, güvende kalmak için Discord’unuzda ve diğer yüksek değerli hesaplarınızda her zaman Çok Faktörlü Kimlik Doğrulamayı (MFA) kullanmanızı ve doğrulanmamış kaynaklardan gelen yeni yazılımları, modları veya yardımcı programları indirirken son derece dikkatli olmanızı şiddetle tavsiye ediyor.