黑客将 RedTiger 工具变成恶意软件窃取玩家的 Discord 帐户

一种新的网络威胁正在席卷游戏社区——黑客已将合法的网络安全测试工具转变为恶意软件，窃取 Discord 帐户、密码和加密钱包。

Netskope 的安全研究人员发现，2024 年发布的基于 Python 的新型开源读取分组工具 RedTiger 已被武器化为强大的信息窃取器。

参见：黑客利用 RID 劫持在 Windows 中创建管理员帐户

RedTiger 的代码最初是为了模拟网络攻击以进行培训和安全审计，现在已被重新打包成恶意软件 - 一种能够危害游戏帐户、加密货币钱包、浏览器数据甚至网络摄像头镜头的恶意软件。

“与红队工具的情况一样，攻击者通常会采用它们并将其用于恶意目的，”写道研究人员在一篇博客文章中说。

从测试工具到防盗引擎

与其他强大的合法安全框架（例如 Cobalt Strike 或 Metasploit）一样，攻击者很快抓住了 RedTiger 的开源可用性并将其武器化。其信息窃取器组件曾经用于受控实验，现已使用 PyInstaller 编译成独立的恶意软件可执行文件。

研究人员已经发现了隐藏在游戏相关下载中的样本，其中通常包含法语警告信息，这暗示说法语的游戏玩家是最先受到攻击的人之一。

窃取数据后，RedTiger 将所有内容上传到允许匿名上传的云服务 GoFile,然后，下载链接会通过 Discord Webhook 秘密发送给攻击者，并附上受害者的 IP 地址、系统名称和位置等详细信息。这种方法使黑客能够保持隐藏状态，同时通过安全工具很少监控的渠道检索被盗数据。

RedTiger 如何窃取您的数据

RedTiger 的主要目标很简单：窃​​取 Discord 帐户。安装后，它可以秘密收集您的 Discord 登录令牌和密码；保存浏览器存储的信息，例如密码、cookie 和信用卡详细信息；加密钱包数据和相关文件；游戏帐户（如 Roblox）；未经用户同意而拍摄的屏幕截图甚至网络摄像头图像。

此外，即使用户更改了密码或电子邮件，RedTiger 也会持续监控并将更新后的凭据直接发送给攻击者。

此外，该恶意软件还通过添加虚假文件和进程来淹没受害者的系统，这种策略称为“垃圾邮件”，使用户或防病毒软件更难以检测到。

内置回避和持久性

RedTiger 还配备了防御规避功能，如果它从通常在沙箱内运行的预定义列表中检测到用户名、主机名或硬件 ID，则会终止其进程。在 Windows 上，它可以通过在系统启动时自动启动来建立持久性，而 Linux 和 macOS 持久性模块似乎正在开发中。

更大的图景

游戏玩家是理想的目标，因为他们经常从未经验证的来源下载模组、“助推器”和破解软件，为 RedTiger 等恶意软件创造了完美的感染路径。但网络安全专家警告说，该工具将来可以轻松升级以针对企业和组织。

如何保护自己 

如果您认为自己可能受到了影响：

• 从官方网站删除并重新安装 Discord，并撤销所有活动令牌。
• 更改所有密码并为每个帐户启用双因素身份验证 (2FA)。
• 避免从未经验证的来源或随机的 Discord 链接下载游戏工具、模组、黑客或游戏工具。
• 使用值得信赖的防病毒软件定期扫描您的系统。