Los atacantes están empleando la herramienta de código abierto para equipos rojos RedTiger con el fin de crear un ladrón de información que recopila datos de cuentas de Discord e información de pago.
El software malicioso también puede sustraer credenciales almacenadas en el navegador, datos de monederos de criptomonedas y cuentas de videojuegos.
¿Qué es RedTiger?
RedTiger es un conjunto de herramientas de pruebas de penetración basado en Python para Windows y Linux que agrupa opciones para escanear redes y descifrar contraseñas, utilidades relacionadas con OSINT, herramientas enfocadas en Discord y un constructor de malware.
El componente ladrón de información de RedTiger ofrece las capacidades estándar de capturar información del sistema, cookies y contraseñas del navegador, archivos de monederos de criptomonedas, archivos de juegos, y datos de Roblox y Discord. También puede capturar instantáneas de la cámara web y capturas de pantalla del equipo de la víctima.
Aunque el proyecto marca sus funciones peligrosas como «uso legal únicamente» en GitHub, su distribución gratuita e incondicional y la ausencia de salvaguardas facilitan su uso indebido.
Abuso actual de RedTiger
Según un informe de Netskope, los ciberdelincuentes están ahora explotando el componente ladrón de información de RedTiger, principalmente para atacar a titulares de cuentas de Discord franceses.
Los atacantes compilaron el código de RedTiger utilizando PyInstaller para formar ejecutables independientes y les dieron nombres relacionados con videojuegos o Discord.
Funcionamiento del malware
Una vez que el ladrón de información se instala en la máquina de la víctima, busca archivos de bases de datos de Discord y navegadores. Luego extrae tokens en texto plano y cifrados mediante expresiones regulares, valida los tokens y obtiene información del perfil, correo electrónico, autenticación multifactor y suscripciones.
A continuación, inyecta JavaScript personalizado en el archivo index.js de Discord para interceptar llamadas a la API y capturar eventos como intentos de inicio de sesión, compras o incluso cambios de contraseña. También extrae información de pago (PayPal, tarjetas de crédito) almacenada en Discord.
Datos de Discord objetivo del malware
| Tipo de dato | Descripción |
|---|---|
| Tokens de autenticación | Tokens en texto plano y cifrados |
| Información de perfil | Datos personales del usuario |
| Correo electrónico | Dirección de correo asociada |
| Autenticación multifactor | Configuración de seguridad |
| Información de suscripción | Detalles de planes de pago |
| Información de pago | PayPal y tarjetas de crédito |
De los navegadores web de la víctima, RedTiger recopila contraseñas guardadas, cookies, historial, tarjetas de crédito y extensiones del navegador. El malware también captura capturas de pantalla del escritorio y busca archivos .TXT, .SQL y .ZIP en el sistema de archivos.
Exfiltración de datos
Después de recopilar los datos, el malware archiva los archivos y los carga en GoFile, un servicio de almacenamiento en la nube que permite cargas anónimas. El enlace de descarga se envía luego al atacante a través de un webhook de Discord, junto con los metadatos de la víctima.
Técnicas de evasión
En cuanto a la evasión, RedTiger está bien equipado, con mecanismos anti-sandbox y terminación cuando se detectan depuradores. El malware también genera 400 procesos y crea 100 archivos aleatorios para saturar el análisis forense.
Vectores de distribución
Si bien Netskope no ha compartido vectores de distribución explícitos para los binarios armados de RedTiger, algunos métodos comunes incluyen:
- Canales de Discord
- Sitios de descarga de software malicioso
- Publicaciones en foros
- Publicidad maliciosa (malvertising)
- Videos de YouTube
Recomendaciones de seguridad
Los usuarios deben evitar descargar ejecutables o herramientas de juegos como modificaciones, «entrenadores» o «potenciadores» de fuentes no verificadas.
Si sospecha que ha sido comprometido:
- Revoque los tokens de Discord
- Cambie sus contraseñas
- Reinstale su cliente de escritorio de Discord desde el sitio oficial
- Borre los datos guardados de los navegadores
- Active la autenticación multifactor en todas partes
