Hackers estão explorando o RedTiger, uma ferramenta open source usada por red teams, para criar um infostealer que rouba dados de contas no Discord e informações de pagamento.
Esse malware também captura credenciais armazenadas em navegadores, dados de carteiras de criptomoedas e contas de jogos.
O RedTiger é uma suíte de penetração baseada em Python, disponível para Windows e Linux.
Ela reúne funcionalidades como varredura de redes, cracking de senhas, utilitários OSINT, ferramentas específicas para Discord e um construtor de malware.
O componente infostealer do RedTiger oferece recursos típicos, como coleta de informações do sistema, cookies e senhas salvos no navegador, arquivos de carteiras de criptoativos, dados de jogos — incluindo Roblox e Discord.
Além disso, pode capturar fotos pela webcam e fazer screenshots da tela da vítima.
Embora o projeto destaque suas funcionalidades perigosas com a recomendação de “uso legal apenas” no GitHub, sua distribuição gratuita, irrestrita e sem mecanismos de proteção facilita o abuso por criminosos.
Segundo relatório da Netskope, cibercriminosos têm usado o módulo infostealer do RedTiger especialmente para atacar usuários franceses do Discord.
Os atacantes compilam o código do RedTiger com PyInstaller, gerando binários autônomos que recebem nomes relacionados a jogos ou ao Discord para mascarar a ameaça.
Depois de instalado, o infostealer busca arquivos de banco de dados do Discord e dos navegadores.
Ele extrai tokens — tanto em texto simples quanto criptografados — por meio de expressões regulares, valida esses tokens e recupera informações do perfil, e-mail, autenticação multifator e assinaturas.
Na sequência, injeta um JavaScript customizado no arquivo index.js do Discord para interceptar chamadas à API e capturar eventos como tentativas de login, compras e alterações de senha.
Também extrai informações de pagamento armazenadas, como PayPal e cartões de crédito.
Dos navegadores da vítima, o malware rouba senhas salvas, cookies, histórico, dados de cartões de crédito e extensões instaladas.
Ele ainda captura screenshots da área de trabalho e procura arquivos .TXT, .SQL e .ZIP no sistema.
Após coletar os dados, o RedTiger compacta os arquivos e faz o upload para o GoFile, um serviço de armazenamento em nuvem que permite envios anônimos.
O link para download é enviado ao atacante via webhook do Discord, acompanhado dos metadados da vítima.
Para evitar análise forense, o RedTiger conta com mecanismos anti-sandbox e encerra sua execução ao detectar debuggers.
Ele também cria 400 processos e gera 100 arquivos aleatórios para sobrecarregar sistemas de monitoramento.
Embora a Netskope não tenha divulgado vetores específicos usados na distribuição das versões maliciosas do RedTiger, os métodos mais comuns incluem canais do Discord, sites maliciosos de download, posts em fóruns, malvertising e vídeos no YouTube.
Para se proteger, evite baixar executáveis ou ferramentas de jogos — como mods, trainers ou boosters — de fontes não confiáveis.
Se desconfiar de comprometimento, revogue os tokens do Discord, troque suas senhas e reinstale o cliente direto do site oficial.
Além disso, limpe os dados salvos nos navegadores e ative a autenticação multifator (MFA) em todas as suas contas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...