Az utóbbi időben egyre nagyobb figyelmet kap a RedTiger nevű nyílt forráskódú red-team eszköz, amelyet támadók infostealer (információlopó) célokra használnak fel. Ez a kártevő képes Discord fiókok adatait, fizetési információkat, böngészőben tárolt hitelesítő adatokat, kriptovaluta tárca fájlokat, valamint játékfiókokhoz kapcsolódó adatokat ellopni.
Mi az a RedTiger?
A RedTiger egy Python alapú penetrációs tesztelő csomag Windows és Linux rendszerekre, amely számos funkciót kínál:
- Hálózatok feltérképezése és jelszótörési lehetőségek
- OSINT (nyílt forrású hírszerzés) eszközök
- Discord-specifikus segédprogramok
- Kártevőépítő modul (malware builder)
Eredetileg etikus célokra szánták, azonban a projekt GitHub oldalán található „csak jogszerű használatra” megjegyzés ellenére a szabad terjesztés és a védelem hiánya miatt könnyen visszaélnek vele rosszindulatú szereplők.
A RedTiger infostealer komponens működése
A RedTiger információlopó modulja többféle adatot képes begyűjteni:
- Rendszerinformációk
- Böngésző cookie-k és jelszavak
- Kriptotárca fájlok
- Játékfájlok, például Roblox és Discord adatok
- Webkamera képek és képernyőfotók készítése
A támadók a RedTiger kódját PyInstaller segítségével önálló futtatható állományokká alakítják, amelyeket gyakran játék- vagy Discord témájú névvel látnak el, hogy megtévesszék az áldozatokat.
Discord-fiókok elleni célzott támadások
A Netskope jelentése szerint a fenyegetők elsősorban francia Discord-felhasználókat céloznak meg. A kártevő telepítése után a következő lépések történnek:
- Adatbázisok feltérképezése: A malware keresést végez a Discord és böngésző adatbázis fájljaiban.
- Tokenek kinyerése: Egyszerű és titkosított tokeneket regex segítségével azonosít, majd validálja azokat.
- Profiladatok lekérése: Kinyeri a felhasználói profilt, e-mail címet, többfaktoros hitelesítés (MFA) állapotát és előfizetési információkat.
- Kártékony JavaScript befecskendezése: A Discord index.js fájljába egyedi JavaScript kódot injektál, amely figyeli az API hívásokat. Így rögzíti a bejelentkezési kísérleteket, vásárlásokat vagy jelszóváltoztatásokat.
- Fizetési adatok ellopása: Kinyeri a Discordon tárolt PayPal- és bankkártya-információkat is.
Böngészőből gyűjtött adatok és további lopások
A RedTiger nem csak a Discordhoz fér hozzá: a fertőzött gépen található böngészőkben elmentett jelszavakat, cookie-kat, böngészési előzményeket, bankkártya adatokat és bővítményeket is begyűjti. Emellett asztali képernyőfotókat készít, valamint .TXT, .SQL és .ZIP kiterjesztésű fájlokat keres a fájlrendszerben.
Adatok továbbítása és elrejtése
A begyűjtött adatokat a malware tömöríti, majd feltölti egy GoFile nevű felhőtárhely szolgáltatásba, amely anonim feltöltést tesz lehetővé. A letöltési linket egy Discord webhookon keresztül küldi el a támadóknak együtt az áldozat metaadataival.
Kikerülési technikák és védekezés az elemzés ellen
A RedTiger fejlett elkerülési mechanizmusokkal rendelkezik:
- Anti-sandbox technikák – ha virtuális környezetet vagy sandboxot érzékel, leállítja magát
- Debugger felismerés – ha hibakeresőt talál, szintén megszakítja működését
- Több száz folyamat indítása és véletlenszerű fájlok létrehozása – így túlterheli az elemzői környezeteket és megnehezíti a digitális nyomkövetést
Támadási vektorok és megelőzés
Bár a Netskope nem közölt konkrét terjesztési módszereket a weaponized RedTiger binárisokra vonatkozóan, ismert csatornák lehetnek:
- Discord csatornákon terjesztett fertőzött állományok
- Kártékony szoftver letöltő oldalak
- Fórumbejegyzésekben elhelyezett linkek vagy mellékletek
- Kártékony reklámok (malvertising)
- YouTube videókban elhelyezett csalárd letöltések
Minden felhasználónak ajánlott kerülni az ismeretlen forrásból származó futtatható állományok vagy játékmodok („trainerek”, „boosterek”) letöltését.
Mire figyeljünk fertőzés esetén?
- Töröld vagy vonj vissza minden Discord token-t (hitelesítő kulcsot).
- Módosítsd minden érintett fiókod jelszavát.
- Töröld a böngésződben tárolt mentett adatokat (jelszavak, cookie-k).
- Töltsd le újra hivatalos forrásból a Discord asztali kliensét.
- Kapcsold be a többfaktoros hitelesítést (MFA) minden szolgáltatásban.
Záró gondolatok – növekvő veszélyek az online biztonságban
A Picus Blue Report 2025 legfrissebb adatai szerint az elmúlt évben jelentősen nőtt azoknak az eseteknek az aránya (46%), ahol jelszavakat törték fel – ez majdnem megduplázódott az előző év 25%-ához képest. Ez jól mutatja, hogy mennyire fontos naprakész védekezést alkalmazni mind személyes mind vállalati környezetben.
Ha szeretnél mélyebb betekintést kapni az informatikai biztonság aktuális trendjeibe, megelőzési stratégiáiba és adatlopási módszereibe, érdemes beszerezni a Picus Blue Report 2025 kiadványt.