Новый инструмент RedTiger представляет угрозу для геймеров и учетных записей Discord

RedTiger позиционируется как легитимный инструмент для красных команд (red teaming), но, как и многие аналогичные разработки, быстро был адаптирован киберпреступниками для вредоносных целей. Аналогичная судьба постигла известный фреймворк Cobalt Strike, который годами используется различными угрозными акторами. Современный вредоносный софт RedTiger демонстрирует сложную модульную архитектуру, позволяющую злоумышленникам выбирать конкретные функции для своих атак.

Основной целью RedTiger стали учетные записи Discord. Инструмент внедряет пользовательский JavaScript в клиентское приложение Discord для перехвата событий и данных аутентификации. Особенностью данной угрозы является способность перехватывать новые учетные данные даже после смены пароля жертвой, что значительно усложняет защиту от компрометации аккаунта.

Эксперты отмечают целенаправленный характер атак на геймеров, что подтверждается анализом имен распространяемых файлов и наличием предупреждающих сообщений на французском языке в некоторых образцах. Это указывает на возможную ориентацию на франкоязычную аудиторию. Злоумышленники охотятся за игровыми аккаунтами, данными криптовалютных кошельков и платежной информацией.

Технический анализ выявил сложный двухэтапный механизм эксфильтрации данных. Сначала похищенная информация архивируется и загружается в облачное хранилище GoFile, которое позволяет анонимную загрузку файлов без регистрации. Затем ссылка для скачивания архива отправляется злоумышленнику через Discord webhook вместе с идентификационными данными жертвы, включая IP-адрес, страну и имя хоста.

Инструмент обладает расширенными возможностями для обхода средств защиты. Он автоматически завершает свою работу при обнаружении признаков песочницы или анализационной среды, проверяя имена пользователей, hostnames и Hardware ID, характерные для исследовательских сред. Дополнительно модифицируется файл hosts для блокировки доступа к доменам security-вендоров.

Функциональность RedTiger включает массовое создание файлов и процессов для перегрузки системных ресурсов, что затрудняет последующий форензик-анализ. Инструмент создает 100 файлов со случайными расширениями и запускает до 400 параллельных процессов, используя многопоточность для обеспечения полного выполнения операций.

Среди других возможностей - кража данных из браузеров (пароли, cookies, история просмотров, платежная информация), перехват информации из игровых клиентов, включая Roblox, а также захват изображений с веб-камеры и создание скриншотов рабочего стола. Механизмы persistence реализованы для Windows, Linux и Darwin (macOS), хотя в последних двух случаях требуют дополнительной настройки.

Популярность подобных инструментов среди киберпреступников объясняется их доступностью и многофункциональностью. Эксперты прогнозируют появление новых вариантов RedTiger в дикой природе и рекомендуют пользователям соблюдать повышенную осторожность при установке непроверенного ПО, особенно связанного с игровой тематикой. Рекомендуется использовать многофакторную аутентификацию и регулярно мониторить активность в своих учетных записях.

MD5

• 013191138f20b85ddafa6c40e7d6628f
• 636d4a176d29af9611ec5706be86ed8f
• 67b54003c45c9f24507c0cfd7b8b31d1
• 84e6f7faf4966ba45a633f2f42440bff
• de6c9673f5ee266ac6b3b3bf02f15dc8