Oyuncular, popüler oyun ve iletişim platformlarından yararlanan siber suçluların giderek artan tehdidiyle karşı karşıya.
RedTiger adlı tehlikeli bir bilgi hırsızı artık aktif olarak ortalıkta dolaşıyor ve özellikle dünya çapındaki şüphelenmeyen oyunculardan Discord kimlik bilgilerini, oyun hesaplarını ve hassas mali bilgilerini çalmak için tasarlandı.
Güvenlik araştırmacıları, saldırganların Fransızca konuşan oyun topluluklarına odaklandığını gösteren kanıtlarla birlikte, halihazırda kurbanları hedef alan kötü amaçlı yazılımın birden fazla çeşidini tespit etti.
RedTiger’ı Anlamak
RedTiger, 2024 yılında halka açık olarak piyasaya sürülen meşru bir kırmızı ekip araç seti olarak başladı. Kırmızı ekip araçları, yetkili güvenlik profesyonellerinin sistem savunmalarını test etmesi ve değerlendirmesi için tasarlanmış yazılımlardır.
Ancak kendisinden önceki birçok güçlü araç gibi saldırganlar da RedTiger’ın yeteneklerini kötü amaçlarla silah haline getirdi.
Araç seti, kimlik avı kitleri, ağ tarama yardımcı programları ve en önemlisi, siber suçluların artık sıradan oyunculara karşı kullandığı bir bilgi hırsızlığı bileşeni gibi çeşitli tehlikeli özellikler içeriyor.
RedTiger’ın bilgi hırsızı kısmının değerli kişisel verilerin toplanmasında özellikle etkili olduğu kanıtlanmıştır.
Doğrudan Discord istemci uygulamasına kötü amaçlı kod enjekte ederek özellikle Discord hesaplarını hedef alıyor.
Kötü amaçlı yazılım, Discord’un ötesinde, tarayıcıda kayıtlı şifreleri, ödeme kartı bilgilerini, kripto para cüzdanı kimlik bilgilerini ve Roblox giriş bilgileri gibi oyun hesabı ayrıntılarını topluyor.
Araç, kurbanları web kameraları aracılığıyla gizlice kaydedebilir ve bu da başka bir gizlilik ihlali katmanı ekler.
RedTiger, anonimliği en üst düzeye çıkarmak için iki aşamalı bir veri hırsızlığı süreci kullanıyor. İlk olarak, kötü amaçlı yazılım çalınan tüm bilgileri sıkıştırıyor ve bunları bir hesap gerektirmeden anonim yüklemelere izin veren bir bulut depolama hizmeti olan GoFile’a yüklüyor.
GoFile, yüklendikten sonra saldırganın Discord web kancası aracılığıyla alacağı bir indirme bağlantısı oluşturur.
Bu yöntem, saldırganın çalınan verileri güvenilir bir şekilde almasını sağlarken gizli kalmasını sağlar.
Kötü amaçlı yazılım ayrıca saldırganların çalınan bilgileri tanımlamasına ve düzenlemesine yardımcı olmak için IP adresleri, coğrafi konum ve bilgisayar ana bilgisayar adı gibi kurban ayrıntılarını da gönderiyor.
Kötü amaçlı yazılım, Windows, Linux ve macOS cihazlarda sistem yeniden başlatıldığında hayatta kalmasını sağlayan akıllı kalıcılık mekanizmaları içerir.
Kurulduktan sonra, kurban bilgisayarını her başlattığında otomatik olarak çalışır ve virüslü sisteme erişimi süresiz olarak korur.
RedTiger, özellikle oyuncuları hedef alan bilgi hırsızlarının rahatsız edici eğiliminin sonuncusunu temsil ediyor.
Güvenlik ekipleri hali hazırda doğada aktif olarak yayılan çok sayıda varyantı tespit etti ve uzmanlar yakında daha tehlikeli versiyonların ortaya çıkmasını bekliyor.
Kötü amaçlı yazılımın açık kaynaklı yapısı, herkesin onu değiştirebileceği anlamına gelir ve antivirüs yazılımının tespit etmekte zorlandığı sonsuz çeşitlilikler yaratır.
Oyuncular, güvenilmeyen kaynaklardan yürütülebilir dosyalar indirme konusunda dikkatli olmalı, sistemlerini güvenlik yamalarıyla güncel tutmalı ve Discord ve oyun hesapları için güçlü, benzersiz şifreler kullanmayı düşünmelidir.
Oyun topluluğu, finansal bilgi ve hesap erişimi isteyen saldırganlar için kazançlı bir hedef olmaya devam ediyor ve bu da çevrimiçi oyuncular için siber güvenlik farkındalığını zorunlu kılıyor.
IOC’ler
MD5 (RedTiger Script)
84E6F7FAF4966BA45A633F2F42440BFF
636D4A176D29AF9611EC5706BE86ED8F
67B54003C45C9F24507C0CFD7B8B31D1
013191138F20B85DDAFA6C40E7D6628F
DE6C9673F5EE266AC6B3B3BF02F15DC8Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.