Una herramienta legal se torció: cómo RedTiger se convirtió en el principal aliado de los ciberdelincuentes
Tarjetas bancarias, tokens e incluso cámaras web — ahora en la mira de los ciberdelincuentes
Los atacantes comenzaron a usar la herramienta de código abierto RedTiger para crear software malicioso, que apunta a los usuarios de Discord y a sus datos de pago. En el núcleo del ataque está un componente modificado de RedTiger, diseñado originalmente para pruebas de seguridad legítimas, pero fácilmente adaptable para el robo de información.
RedTiger es un conjunto de utilidades en Python que incluye funciones para el análisis de redes, el ataque de fuerza bruta de contraseñas, la recopilación de datos abiertos y la creación de software malicioso. Una de las capacidades clave del conjunto es un módulo de robo de datos capaz de extraer información del sistema, cookies y contraseñas de navegadores, archivos de billeteras de criptomonedas, datos de juegos y cuentas de Discord y Roblox. Además, puede tomar capturas de pantalla y activar la cámara web.
El equipo de Netskope informó, que las compilaciones maliciosas de RedTiger están dirigidas principalmente a usuarios en Francia. El código de la utilidad se compila con PyInstaller en ejecutables independientes, disfrazados de utilidades de juegos o programas de Discord. Tras su ejecución, el software malicioso escanea el sistema en busca de archivos de Discord y bases de datos de navegadores, extrae tokens en claro y cifrados, los verifica y luego recopila información sobre el perfil, la dirección de correo electrónico, la autenticación de dos factores y la suscripción.
El siguiente paso consiste en inyectar código JavaScript en el archivo index.js del cliente de Discord. Esto permite interceptar las acciones del usuario, incluidas el inicio de sesión, el cambio de contraseña y los intentos de compra. Además, se filtran datos de pago, como la información de PayPal y las tarjetas bancarias, si están guardados en la aplicación.
Además de la información de Discord, RedTiger recopila contraseñas, cookies, el historial del navegador, las tarjetas guardadas y las extensiones, y también busca en el sistema de archivos documentos con extensiones .TXT, .SQL y .ZIP. Los datos obtenidos se archivan y se suben al servicio GoFile, que no requiere identificación. El enlace al archivo y los metadatos de la víctima se envían al atacante a través de un webhook de Discord.
Para dificultar el análisis, el software malicioso utiliza técnicas de evasión: se cierra al detectar un depurador o una sandbox, lanza cientos de procesos y crea numerosos archivos temporales para sobrecargar las herramientas de análisis.
Aunque no se han precisado las formas exactas de propagación, se conocen vectores típicos: enlaces en canales de Discord, sitios falsos para descargar programas, foros especializados, publicidad maliciosa y vídeos en YouTube. El código malicioso puede ocultarse bajo la apariencia de mods de juego, trucos y aceleradores.
Las huellas digitales son tu debilidad, y los hackers lo saben