RedTiger, saldırganlar tarafından Discord kullanıcılarından ve oyunculardan hassas verileri çalmak üzere yeniden tasarlanmış, açık kaynaklı bir kırmızı ekip aracıdır.
2025’te GitHub’da piyasaya sürülen RedTiger, ağ tarayıcıları ve OSINT araçları da dahil olmak üzere penetrasyon testi yardımcı programlarını bir araya getiriyor. Ancak bilgi hırsızlığı modülü, 2025’in başlarından bu yana internette dolaşan kötü amaçlı veriler nedeniyle kötüye gitti.
Netskope Tehdit Laboratuvarları, örnek dosya adlarına ve “Dikkat, ton PC est enfekte!” gibi özel uyarılara dayanarak Fransızca konuşan oyuncuları hedef alan çok sayıda varyant rapor etti. (Uyarı, bilgisayarınıza virüs bulaşmış!).
Bu, Minecraft oyuncularını hedef alan Python RAT’ın ardından Netskope’un bu ay takip ettiği ikinci oyuncu odaklı bilgi hırsızlığı anlamına geliyor.
Saldırganlar, kötüye kullanılan Cobalt Strike çerçevesine benzer şekilde modülerliği ve özelleştirme kolaylığı nedeniyle RedTiger’ı tercih ediyor. PyInstaller tarafından derlenmiş ikili dosyalar olarak dağıtılan bu örnekler, oyun hileleri veya modları gibi görünerek kullanıcıları kandırarak kandırıyor.
Kötü amaçlı RedTiger tabanlı bilgi hırsızı, Discord hesaplarına odaklanarak API trafiğini ele geçirmek için uygulamanın çekirdek dosyalarına JavaScript enjekte ediyor.
Discord’un veritabanlarındaki normal ifade aramaları aracılığıyla jetonları yakalar, bunları API çağrıları aracılığıyla doğrular ve e-postalar, MFA durumu ve abonelik seviyeleri gibi kullanıcı ayrıntılarını çıkarır.
Şifre değişiklikleri bile kaçmaz; Kötü amaçlı yazılım, Stripe ve Braintree için fatura uç noktalarına yönelik güncellemeleri engelleyerek kart bilgilerini, PayPal ayrıntılarını ve Nitro satın alımlarını ele geçiriyor.
Sosyal platformların ötesinde, çerezler, şifreler, geçmiş ve kredi kartları için Chrome, Firefox, Edge tarayıcılarına ve Opera GX gibi niş tarayıcılara saldırıyor.
Roblox’taki oyun dosyaları ve MetaMask gibi kripto cüzdanları toptan kopyalanırken, anahtar kelimelerle (örneğin, “şifreler”) eşleşen .txt, .sql ve .zip dosyaları arşivlenir.
Tarayıcı_cookie3 yoluyla Roblox’a özel çerez çıkarma, API sorguları aracılığıyla hesap bilgilerini ortaya çıkarır. Kötü amaçlı yazılım, başlangıç klasörlerine düşerek Windows’ta kalıcılık sağlıyor, ancak Linux ve macOS uygulamaları manuel ayarlamalar yapılmadığında bocalıyor.
Netskope, kaçınma amacıyla “sanal alan” gibi sanal alan göstergeleri kullanıcı adlarını veya analiz araçlarına bağlı donanım kimliklerini taradığını ve kendi kendini sonlandırdığını söyledi.
Ayrıca, güvenlik sağlayıcılarını engellemek için ana bilgisayar dosyasını düzenler ve adli tıpı tıkamak için yüzlerce gereksiz dosya ve işlem üretir.
Sızma akıllıcadır: Çalınan veriler sıkıştırılır ve anonim GoFile depolama alanına yüklenir; kurbanın IP’si ve coğrafi konum da dahil olmak üzere Discord web kancaları aracılığıyla saldırganlara pinglenen bağlantılar bulunur.
RedTiger’ın web kamerası görüntüleri ve ekran görüntüleri, OpenCV ve Pillow kitaplıklarını kullanan casusluk kitini tamamlıyor. Netskope bunu Win64.Trojan.RedTiger olarak algılayarak oyuncuları indirmeleri taramaya ve iki faktörlü kimlik doğrulamayı etkinleştirmeye teşvik ediyor.
Bilgi hırsızları geliştikçe uzmanlar daha fazla varyant konusunda uyarıyor. Netskope’tan Rayudu Venkateswara Reddy, “Oyuncuların paylaşılan dosyaları ve Discord’a olan güveni onları birincil hedef haline getiriyor” dedi. Mağdurların önde kalmak için hesapları izlemesi ve davranışsal tespit özelliğine sahip antivirüs kullanması gerekir.
