RedTiger — это инструмент для проведения атак с открытым исходным кодом, который был переосмыслен злоумышленниками для кражи конфиденциальных данных у пользователей Discord и геймеров.
Выпущенный в 2025 году на GitHub, RedTiger включает утилиты для тестирования на проникновение, такие как сетевые сканеры и инструменты для сбора разведывательной информации (OSINT). Однако его модуль инфостилера стал зловредным, и вредоносные файлы с его использованием распространяются в сети с начала 2025 года.
Lаборатории Netskope Threat Labs сообщили о нескольких вариантах, нацеленных на франкоязычных геймеров, основываясь на именах файлов образцов и нестандартных предупреждениях, таких как «Attention, ton PC est infecté!» (Внимание, ваш ПК заражен!).
Это второй инфостилер, ориентированный на геймеров, который отслеживает Netskope в этом месяце, после Python RAT, нацеленного на игроков Minecraft.
Злоупотребление инструментом RedTiger
Злоумышленники предпочитают RedTiger за его модульность и легкость в настройке, аналогично тому, как злоупотребляют фреймворком Cobalt Strike. Распространяющиеся бинарные файлы, скомпилированные с помощью PyInstaller, маскируются под читы или моды для игр, обманывая пользователей и заставляя их выполнять их.
Вредоносный инфостилер на основе RedTiger нацеливается на аккаунты Discord, внедряя JavaScript в основные файлы приложения, чтобы захватить трафик API.
Он перехватывает токены с помощью регулярных выражений, проводит их валидацию через API-запросы и извлекает данные пользователя, такие как адреса электронной почты, статус MFA и уровни подписки.
Даже изменения паролей не ускользают от внимания: вредоносное ПО перехватывает обновления на платежные конечные точки для Stripe и Braintree, захватывая данные карт, информацию о PayPal и покупки Nitro.
Кроме социальных платформ, оно атакует браузеры Chrome, Firefox, Edge, а также нишевые, такие как Opera GX, для кражи cookies, паролей, истории посещений и данных кредитных карт.
Игровые файлы из Roblox и криптовалютные кошельки, такие как MetaMask, копируются целиком, а также архивируются файлы .txt, .sql и .zip, соответствующие ключевым словам (например, «пароли»).
Извлечение cookies, специфичных для Roblox, с помощью browser_cookie3 раскрывает информацию о аккаунте через API-запросы. Вредоносное ПО добавляет постоянство на Windows, помещая компоненты в папки автозагрузки, хотя версии для Linux и macOS работают нестабильно без ручных настроек.
Для избегания анализа оно сканирует наличие индикаторов песочницы, таких как имена пользователей типа «sandbox» или аппаратные идентификаторы, связанные с инструментами анализа, и самоуничтожается, сообщает Netskope.
Также вредоносное ПО редактирует файл hosts, чтобы блокировать безопасность поставщиков, и генерирует сотни бесполезных файлов и процессов, мешая форензике.
Эксплуатация данных осуществляется следующим образом: украденные данные архивируются и загружаются на анонимное хранилище GoFile, а ссылки отправляются злоумышленникам через вебхуки Discord, включая IP и геолокацию жертвы.
Веб-камеры и скриншоты, сделанные RedTiger, дополняют набор шпионских инструментов, используя библиотеки OpenCV и Pillow. Netskope обнаруживает его как Win64.Trojan.RedTiger, призывая геймеров сканировать загруженные файлы и включать двухфакторную аутентификацию.
По мере эволюции инфостилеров эксперты предупреждают о появлении новых вариантов. «Общие файлы геймеров и зависимость от Discord делают их отличной целью», — сказал Райуду Венкатесвара Редди из Netskope. Жертвам рекомендуется внимательно следить за аккаунтами и использовать антивирус с поведенческим анализом для защиты.
- Источник: https://cybersecuritynews.com/red-teaming-tool-redtiger/
Выпущенный в 2025 году на GitHub, RedTiger включает утилиты для тестирования на проникновение, такие как сетевые сканеры и инструменты для сбора разведывательной информации (OSINT). Однако его модуль инфостилера стал зловредным, и вредоносные файлы с его использованием распространяются в сети с начала 2025 года.
Lаборатории Netskope Threat Labs сообщили о нескольких вариантах, нацеленных на франкоязычных геймеров, основываясь на именах файлов образцов и нестандартных предупреждениях, таких как «Attention, ton PC est infecté!» (Внимание, ваш ПК заражен!).
Это второй инфостилер, ориентированный на геймеров, который отслеживает Netskope в этом месяце, после Python RAT, нацеленного на игроков Minecraft.
Злоупотребление инструментом RedTiger
Злоумышленники предпочитают RedTiger за его модульность и легкость в настройке, аналогично тому, как злоупотребляют фреймворком Cobalt Strike. Распространяющиеся бинарные файлы, скомпилированные с помощью PyInstaller, маскируются под читы или моды для игр, обманывая пользователей и заставляя их выполнять их.
Вредоносный инфостилер на основе RedTiger нацеливается на аккаунты Discord, внедряя JavaScript в основные файлы приложения, чтобы захватить трафик API.
Он перехватывает токены с помощью регулярных выражений, проводит их валидацию через API-запросы и извлекает данные пользователя, такие как адреса электронной почты, статус MFA и уровни подписки.
Даже изменения паролей не ускользают от внимания: вредоносное ПО перехватывает обновления на платежные конечные точки для Stripe и Braintree, захватывая данные карт, информацию о PayPal и покупки Nitro.
Кроме социальных платформ, оно атакует браузеры Chrome, Firefox, Edge, а также нишевые, такие как Opera GX, для кражи cookies, паролей, истории посещений и данных кредитных карт.
Игровые файлы из Roblox и криптовалютные кошельки, такие как MetaMask, копируются целиком, а также архивируются файлы .txt, .sql и .zip, соответствующие ключевым словам (например, «пароли»).
Извлечение cookies, специфичных для Roblox, с помощью browser_cookie3 раскрывает информацию о аккаунте через API-запросы. Вредоносное ПО добавляет постоянство на Windows, помещая компоненты в папки автозагрузки, хотя версии для Linux и macOS работают нестабильно без ручных настроек.
Для избегания анализа оно сканирует наличие индикаторов песочницы, таких как имена пользователей типа «sandbox» или аппаратные идентификаторы, связанные с инструментами анализа, и самоуничтожается, сообщает Netskope.
Также вредоносное ПО редактирует файл hosts, чтобы блокировать безопасность поставщиков, и генерирует сотни бесполезных файлов и процессов, мешая форензике.
Эксплуатация данных осуществляется следующим образом: украденные данные архивируются и загружаются на анонимное хранилище GoFile, а ссылки отправляются злоумышленникам через вебхуки Discord, включая IP и геолокацию жертвы.
Веб-камеры и скриншоты, сделанные RedTiger, дополняют набор шпионских инструментов, используя библиотеки OpenCV и Pillow. Netskope обнаруживает его как Win64.Trojan.RedTiger, призывая геймеров сканировать загруженные файлы и включать двухфакторную аутентификацию.
По мере эволюции инфостилеров эксперты предупреждают о появлении новых вариантов. «Общие файлы геймеров и зависимость от Discord делают их отличной целью», — сказал Райуду Венкатесвара Редди из Netskope. Жертвам рекомендуется внимательно следить за аккаунтами и использовать антивирус с поведенческим анализом для защиты.
- Источник: https://cybersecuritynews.com/red-teaming-tool-redtiger/
