Fiók- és adatlopás minden szinten
A RedTiger infostealer modulja rendszerinformációkat, a böngészőben tárolt sütiket és jelszavakat, kriptotárca-fájlokat, Discord- és Roblox-adatokat, valamint játékfájlokat képes ellopni. Különösen veszélyes, hogy az alkalmazás le tudja menteni a felhasználó képernyőképét és a webkamera fotóját is. Bár a fejlesztők csak legális használatot engedélyeznének, a program akadálytalanul letölthető, ezért a bűnözők gátlástalanul visszaélnek vele.
Célkeresztben a francia Discord-felhasználók
Leginkább francia Discord-fiókok kerültek célkeresztbe: a támadók a RedTiger forrását PyInstallerrel fordítják le könnyen futtatható programfájlokká, majd a fájlokat játékosoknak szóló vagy Discordos nevekkel terjesztik. Ha valaki telepíti, a program azonnal átkutatja a gépet Discord- és böngészőadatbázisokért, reguláris kifejezésekkel kinyeri és ellenőrzi a bejelentkezési tokeneket, majd megszerzi a profil-, e-mail-, többfaktoros azonosítási, előfizetési és fizetési adatokat, köztük PayPal- és bankkártya-információkat is. A Discord index.js fájljába injektált egyedi JavaScripttel képes közvetlenül elcsípni API-hívásokat, például bejelentkezési vagy jelszóváltoztatási műveleteket is.
Összetett védelem a lebukás ellen
A RedTiger fejlett elhárító trükköket is bevet: felismeri a virtuális környezeteket, bezárja magát, ha hibakeresőt érzékel, és akár 400 folyamatot elindít, vagy 100 véletlen fájlt is létrehoz, hogy elterelje a digitális nyomozók figyelmét. Az ellopott információkat archiválja, majd a GoFile-ra tölti fel, a linket pedig automatikusan elküldi a támadónak Discord-webhookon keresztül.
Így védekezz!
A fertőzött fájlokat főként Discord-csatornákon, kétes letöltőoldalakon, fórumokon, rosszindulatú hirdetésekben (malvertising), vagy YouTube-videókban terjesztik. Ne tölts le játékmodokat, trainereket vagy bármilyen futtatható fájlt ismeretlen forrásból! Ha gyanítod, hogy áldozattá váltál, azonnal érvénytelenítsd a Discord-tokeneket, változtass jelszót, telepítsd újra a Discord-klienst a hivatalos oldalról, töröld a böngésződ mentett adatait, és mindenhol kapcsold be a kétfaktoros hitelesítést!
