Скачали "читы для Discord" с YouTube? Поздравляем, RedTiger перехватывает ваши платежи

leer en español

Discord RedTiger Netskope пентест инфостилер кража данных вредоносное ПО
Скачали "читы для Discord" с YouTube? Поздравляем, RedTiger перехватывает ваши платежи
Discord RedTiger Netskope пентест инфостилер кража данных вредоносное ПО

Банковские карты, токены и даже веб-камера — теперь под прицелом «плохих парней».

image

Злоумышленники начали использовать открытый инструмент RedTiger для создания вредоносных программ, которые нацелены на пользователей Discord и их платёжные данные. В основе атаки лежит модифицированный компонент RedTiger, изначально предназначенный для легального тестирования безопасности, но легко адаптируемый для кражи информации.

RedTiger представляет собой набор утилит на Python, включающих функции для анализа сетей, перебора паролей, сбора открытых данных и создания вредоносного ПО. Одной из ключевых возможностей набора является модуль кражи данных, способный извлекать информацию о системе, файлы cookie и пароли из браузеров, файлы криптовалютных кошельков, данные игр и аккаунты Discord и Roblox. Кроме того, он может делать снимки экрана и активировать веб-камеру.

Команда Netskope сообщила, что вредоносные сборки RedTiger в основном направлены против пользователей из Франции. Код утилиты компилируется с помощью PyInstaller в самостоятельные исполняемые файлы, замаскированные под игровые утилиты или Discord-программы. После запуска вредоносное ПО сканирует систему на наличие файлов Discord и баз данных браузеров, извлекает открытые и зашифрованные токены, проверяет их, а затем собирает информацию о профиле, адресе электронной почты, двухфакторной аутентификации и подписке.

Следующим этапом является внедрение JavaScript-кода в файл index.js клиента Discord. Это позволяет перехватывать действия пользователя, включая вход в систему, смену пароля и попытки покупок. Кроме того, производится выгрузка платёжных данных, таких как информация PayPal и банковские карты, если они сохранены в приложении.

Помимо информации Discord, RedTiger собирает пароли, файлы cookie, историю браузера, сохранённые карты и расширения, а также осуществляет поиск по файловой системе на предмет документов с расширениями .TXT, .SQL и .ZIP. Полученные данные архивируются и загружаются на сервис GoFile, который не требует идентификации. Ссылка на файл и метаданные жертвы отправляются злоумышленнику через веб-хук Discord.

Чтобы усложнить анализ, вредоносная программа использует методы обхода: она завершает работу при обнаружении отладчика или песочницы, запускает сотни процессов и создаёт множество временных файлов, чтобы перегрузить инструменты анализа.

Хотя точные способы распространения не названы, известны типичные векторы: ссылки в Discord-каналах, фальшивые сайты для загрузки программ, тематические форумы, вредоносная реклама и ролики на YouTube. Под видом игровых модов, читов и ускорителей может скрываться вредоносный код.