发布于2025年12月3日12月3日 安全研究人员观察到,攻击者正在使用开源红队工具RedTiger 来构建信息窃取恶意软件,该恶意软件可以窃取Discord 帐户数据和支付信息。该恶意软件还可以窃取浏览器中存储的凭据、加密货币钱包数据和游戏帐户信息。 RedTiger是一款基于Python开发的渗透测试套件,支持Windows和Linux系统。其集成功能丰富,包括网络扫描、密码破解、开源情报(OSINT)相关工具、Discord专用工具和恶意软件生成器。 RedTiger 中的Discord 相关工具 信息窃取模块具有标准的窃取能力:可以获取系统信息、浏览器cookie和密码、加密货币钱包文件、游戏文件以及Roblox和Discord相关数据。同时,它还可以捕获受害者的摄像头快照和屏幕截图。 尽管该项目在GitHub 上将其危险功能标记为“仅允许合法使用”,但免费且无限制的分发模式,加上缺乏任何保护机制,使其极易受到恶意滥用。 攻击目标及传播方式:关注法国Discord用户 RedTiger 的恶意软件生成器 据报道,威胁行为者目前正在滥用RedTiger 的信息窃取模块,主要针对法国的Discord 用户。攻击者通过PyInstaller将RedTiger的代码编译成独立的可执行文件,并以与游戏或Discord相关的名称命名,诱导用户点击。 目前尚未披露该恶意软件如何传播的具体细节,但常见的方法包括Discord 频道、恶意软件下载网站、论坛帖子、恶意广告和YouTube 视频。 攻击流程:通过云存储进行多维数据窃取和传输1、植入和扫描:恶意软件植入受害者设备后,会扫描Discord相关文件和浏览器数据库文件; 2. 提取核心数据:通过正则表达式提取明文和加密的Discord token。验证有效性后,获取用户个人资料、电子邮件、多因素身份验证状态和订阅信息; 3.注入脚本拦截行为:将自定义JavaScript代码注入Discord的index.js文件中,拦截API调用,捕获登录尝试、购买操作甚至密码更改等事件,并提取Discord中存储的支付信息(例如PayPal账户和信用卡信息); 恶意软件针对的不一致数据 4、扩大窃取范围:从浏览器收集保存的密码、cookie、浏览历史记录、信用卡信息和浏览器扩展数据,捕获桌面截图,扫描文件系统中的TXT、SQL和ZIP格式文件; 5.数据传输:收集所有数据后,恶意软件会将文件存档,上传到支持匿名上传的云存储服务GoFile,然后通过Discord webhook将下载链接和受害者元数据发送给攻击者。 反检测机制:多种手段逃避分析。 RedTiger具有完善的反检测能力:内置反沙箱机制,检测到时会自动终止调试器;同时,它会生成400个进程并创建100个随机文件来干扰取证分析。 发送欺骗文件并在主机上处理源 用户应避免从未经验证的来源下载可执行文件或游戏工具,例如模组、“修改器”或“加速器”。疑似入侵后,应撤销Discord令牌,更改相关密码,并从官网重新安装Discord桌面客户端;应清除浏览器中保存的所有类型的数据;并且应该为所有帐户启用多重身份验证。
