据安全研究员观察,攻击者正利用开源红队工具 RedTiger,构建一款可窃取 Discord 账户数据与支付信息的信息窃取恶意软件。该恶意软件还能盗取浏览器中存储的凭证、加密货币钱包数据及游戏账号信息。
RedTiger 是一款基于 Python 开发的渗透测试套件,支持 Windows 和 Linux 系统。其集成功能丰富,包括网络扫描、密码破解、开源情报(OSINT)相关工具、Discord 专用工具,以及恶意软件生成器。
其中的信息窃取模块具备标准窃取能力:可获取系统信息、浏览器 Cookie 与密码、加密货币钱包文件、游戏文件,以及 Roblox 和 Discord 相关数据。同时,它还能捕捉受害者的摄像头快照与屏幕截图。
尽管该项目在 GitHub 上标注其危险功能 " 仅允许合法使用 ",但免费无限制的分发模式,加之缺乏任何防护机制,使其极易被恶意滥用。
攻击目标与传播方式:聚焦法国 Discord 用户
据报告,威胁者目前正滥用 RedTiger 的信息窃取模块,攻击目标主要集中在法国的 Discord 用户。攻击者通过 PyInstaller 将 RedTiger 的代码编译为独立可执行文件,并为其命名为与游戏或 Discord 相关的名称,以诱导用户点击。
关于该恶意软件的传播途径,尚未披露具体细节,但常见方式包括 Discord 频道、恶意软件下载网站、论坛帖子、恶意广告及 YouTube 视频。
攻击流程:多维度窃取数据,通过云存储传输
1. 植入与扫描:恶意软件植入受害者设备后,会扫描 Discord 相关文件与浏览器数据库文件;
2. 提取核心数据:通过正则表达式提取明文及加密的 Discord 令牌,验证有效性后,获取用户个人资料、邮箱、多因素认证状态与订阅信息;
3. 注入脚本拦截行为:向 Discord 的 index.js 文件注入自定义 JavaScript 代码,拦截 API 调用,捕捉登录尝试、购买操作甚至密码修改等事件,同时提取 Discord 中存储的支付信息(如 PayPal 账户、信用卡信息);
4. 拓展窃取范围:从浏览器中收集保存的密码、Cookie、浏览历史、信用卡信息及浏览器扩展程序数据,同时捕捉桌面截图,并扫描文件系统中的 TXT、SQL 及 ZIP 格式文件;
5. 数据传输:收集完所有数据后,恶意软件会将文件归档,上传至支持匿名上传的云存储服务 GoFile,再通过 Discord 网络钩子(webhook)将下载链接与受害者元数据发送给攻击者。
反检测机制:多重手段规避分析
RedTiger 具备完善的反检测能力:内置反沙箱机制,检测到调试器时会自动终止运行;同时会生成 400 个进程、创建 100 个随机文件,以此干扰取证分析工作。
用户应避免从未经验证的来源下载可执行文件或游戏工具,例如模组、" 修改器 " 或 " 加速器 "。疑似遭入侵后,应撤销 Discord 令牌,修改相关密码,并从官方网站重新安装 Discord 桌面客户端;清除浏览器中保存的各类数据;为所有账户启用多因素认证。
