黑客利用基于redtiger的信息窃取工具窃取Discord账户

安全研究人员观察到，攻击者正在使用开源红队工具RedTiger 来构建信息窃取恶意软件，该恶意软件可以窃取Discord 帐户数据和支付信息。该恶意软件还可以窃取浏览器中存储的凭据、加密货币钱包数据和游戏帐户信息。

RedTiger是一款基于Python开发的渗透测试套件，支持Windows和Linux系统。其集成功能丰富，包括网络扫描、密码破解、开源情报（OSINT）相关工具、Discord专用工具和恶意软件生成器。

RedTiger 中的Discord 相关工具

信息窃取模块具有标准的窃取能力：可以获取系统信息、浏览器cookie和密码、加密货币钱包文件、游戏文件以及Roblox和Discord相关数据。同时，它还可以捕获受害者的摄像头快照和屏幕截图。

尽管该项目在GitHub 上将其危险功能标记为“仅允许合法使用”，但免费且无限制的分发模式，加上缺乏任何保护机制，使其极易受到恶意滥用。

攻击目标及传播方式：关注法国Discord用户

RedTiger 的恶意软件生成器

据报道，威胁行为者目前正在滥用RedTiger 的信息窃取模块，主要针对法国的Discord 用户。攻击者通过PyInstaller将RedTiger的代码编译成独立的可执行文件，并以与游戏或Discord相关的名称命名，诱导用户点击。

目前尚未披露该恶意软件如何传播的具体细节，但常见的方法包括Discord 频道、恶意软件下载网站、论坛帖子、恶意广告和YouTube 视频。

攻击流程：通过云存储进行多维数据窃取和传输1、植入和扫描：恶意软件植入受害者设备后，会扫描Discord相关文件和浏览器数据库文件；

2. 提取核心数据：通过正则表达式提取明文和加密的Discord token。验证有效性后，获取用户个人资料、电子邮件、多因素身份验证状态和订阅信息；

3.注入脚本拦截行为：将自定义JavaScript代码注入Discord的index.js文件中，拦截API调用，捕获登录尝试、购买操作甚至密码更改等事件，并提取Discord中存储的支付信息（例如PayPal账户和信用卡信息）；

恶意软件针对的不一致数据

4、扩大窃取范围：从浏览器收集保存的密码、cookie、浏览历史记录、信用卡信息和浏览器扩展数据，捕获桌面截图，扫描文件系统中的TXT、SQL和ZIP格式文件；

5.数据传输：收集所有数据后，恶意软件会将文件存档，上传到支持匿名上传的云存储服务GoFile，然后通过Discord webhook将下载链接和受害者元数据发送给攻击者。

反检测机制：多种手段逃避分析。 RedTiger具有完善的反检测能力：内置反沙箱机制，检测到时会自动终止调试器；同时，它会生成400个进程并创建100个随机文件来干扰取证分析。

发送欺骗文件并在主机上处理源

用户应避免从未经验证的来源下载可执行文件或游戏工具，例如模组、“修改器”或“加速器”。疑似入侵后，应撤销Discord令牌，更改相关密码，并从官网重新安装Discord桌面客户端；应清除浏览器中保存的所有类型的数据；并且应该为所有帐户启用多重身份验证。