黑客將 RedTiger 工具變成惡意軟件竊取玩家的 Discord 帳戶

一種新的網絡威脅正在席捲遊戲社區——黑客已將合法的網絡安全測試工具轉變為惡意軟件，竊取 Discord 帳戶、密碼和加密錢包。

Netskope 的安全研究人員發現，2024 年發布的基於 Python 的新型開源讀取分組工具 RedTiger 已被武器化為強大的信息竊取器。

參見：黑客利用 RID 劫持在 Windows 中創建管理員帳戶

RedTiger 的代碼最初是為了模擬網絡攻擊以進行培訓和安全審計，現在已被重新打包成惡意軟件 - 一種能夠危害遊戲帳戶、加密貨幣錢包、瀏覽器數據甚至網絡攝像頭鏡頭的惡意軟件。

“與紅隊工具的情況一樣，攻擊者通常會採用它們並將其用於惡意目的，”寫道研究人員在一篇博客文章中說。

從測試工具到防盜引擎

與其他強大的合法安全框架（例如 Cobalt Strike 或 Metasploit）一樣，攻擊者很快抓住了 RedTiger 的開源可用性並將其武器化。其信息竊取器組件曾經用於受控實驗，現已使用 PyInstaller 編譯成獨立的惡意軟件可執行文件。

研究人員已經發現了隱藏在遊戲相關下載中的樣本，其中通常包含法語警告信息，這暗示說法語的遊戲玩家是最先受到攻擊的人之一。

竊取數據後，RedTiger 將所有內容上傳到允許匿名上傳的雲服務 GoFile,然後，下載鏈接會通過 Discord Webhook 秘密發送給攻擊者，並附上受害者的 IP 地址、系統名稱和位置等詳細信息。這種方法使黑客能夠保持隱藏狀態，同時通過安全工具很少監控的渠道檢索被盜數據。

RedTiger 如何竊取您的數據

RedTiger 的主要目標很簡單：竊​​取 Discord 帳戶。安裝後，它可以秘密收集您的 Discord 登錄令牌和密碼；保存瀏覽器存儲的信息，例如密碼、cookie 和信用卡詳細信息；加密錢包數據和相關文件；遊戲帳戶（如 Roblox）；未經用戶同意而拍攝的屏幕截圖甚至網絡攝像頭圖像。

此外，即使用戶更改了密碼或電子郵件，RedTiger 也會持續監控並將更新後的憑據直接發送給攻擊者。

此外，該惡意軟件還通過添加虛假文件和進程來淹沒受害者的系統，這種策略稱為“垃圾郵件”，使用戶或防病毒軟件更難以檢測到。

內置迴避和持久性

RedTiger 還配備了防禦規避功能，如果它從通常在沙箱內運行的預定義列表中檢測到用戶名、主機名或硬件 ID，則會終止其進程。在 Windows 上，它可以通過在系統啟動時自動啟動來建立持久性，而 Linux 和 macOS 持久性模塊似乎正在開發中。

更大的圖景

遊戲玩家是理想的目標，因為他們經常從未經驗證的來源下載模組、“助推器”和破解軟件，為 RedTiger 等惡意軟件創造了完美的感染路徑。但網絡安全專家警告說，該工具將來可以輕鬆升級以針對企業和組織。

如何保護自己 

如果您認為自己可能受到了影響：

• 從官方網站刪除並重新安裝 Discord，並撤銷所有活動令牌。
• 更改所有密碼並為每個帳戶啟用雙因素身份驗證 (2FA)。
• 避免從未經驗證的來源或隨機的 Discord 鏈接下載遊戲工具、模組、黑客或遊戲工具。
• 使用值得信賴的防病毒軟件定期掃描您的系統。