Wystarczy kilka kliknięć, by z pozornie legalnego narzędzia do testów penetracyjnych zrobić zautomatyzowanego złodzieja kont, haseł i pieniędzy. RedTiger to świetny dowód, jak cienka jest granica między bezpieczeństwem a cyberprzestępczością.
Co musisz wiedzieć?
• RedTiger to open-source’owy zestaw narzędzi do pentestów, który można łatwo przerobić na malware.
• Celem ataków są głównie użytkownicy Discorda: jest wiele doniesień z Francji
• Malware kradnie hasła, tokeny, dane kart płatniczych i zrzuty ekranu.
• Zebrane pliki trafiają do chmury, a link wraca do przestępcy przez webhook.
Zabawka dla pentesterów, prezent dla przestępców
RedTiger jest projektem napisanym w Pythonie, dostępnym publicznie na GitHubie. Autorzy starają się wyglądać odpowiedzialnie, dodając formułkę pouczającą o używaniu narzędzia jedynie w celach legalnych. Ale wiadomo jak jest. Otwarty kod, brak ograniczeń, zero kontroli dystrybucji: to wszystko powoduje, że przestępcy mogą sobie z niego korzystać, jak chcą.
Projekt oferuje m.in. skanowanie sieci, łamanie haseł i moduły OSINT. Do tego są tam narzędzia przygotowane specjalnie pod Discorda. W pakiecie jest nawet generator malware, który jednym kliknięciem tworzy działające binarki na Windows i Linuxa. Atakujący kompilują je przez PyInstaller i nadają im nazwy brzmiące jak „boostery” czy mody do gier. Niby pobierasz coś, co ma Ci pomóc w grze, a tak naprawdę otwierasz szeroko wrota do swoich danych.
Kto kontroluje token, ten kontroluje konto
Po uruchomieniu zainfekowanego pliku RedTiger natychmiast skanuje komputer, szukając baz danych Discorda i przeglądarek. Kluczową zdobyczą są tokeny uwierzytelniające. Po ich przechwyceniu nie trzeba hasła: napastnik przejmuje konto tak, jakby to robił właściciel.
Następnie malware modyfikuje plik index.js Discorda, wstrzykując własny JavaScript. Odtąd aplikacja raportuje do atakującego każde logowanie, zmianę hasła, próbę zakupu czy dodanie metody płatności. Nawet PayPal i karty kredytowe przechowywane w aplikacji klienckiej trafiają prosto do złodzieja.
Przeglądarka, pliki, ekran
RedTiger nie zatrzymuje się na Discordzie. Przechwytuje hasła i cookies z Chrome, Edga, Firefoksa czy Opery. Czy użytkownik logował się do banku? Do e-sklepu? Do portfela kryptowalutowego? Przestępcy wiedzą wszystko. Niestety trzeba uważać, bo tego typu oprogramowanie jest bezlitosne.
Malware przeszukuje także dysk pod kątem plików .TXT, .SQL czy .ZIP. Robi screenshoty aplikacji i pulpitu, zdjęcia przez kamerkę i wysyła na serwer przestępców. Dane spakowane w archiwum lądują w anonimowej chmurze GoFile. Link zwrotny wysyłany jest przestępcy przez Discord webhook. I to bez jednego pisku jakiegokolwiek pakietu bezpieczeństwa.
Aby utrudnić wykrycie, RedTiger uruchamia jednocześnie nawet 400 procesów i tworzy 100 losowych plików. To sposób na zamęczenie narzędzi śledczych. Jeśli środowisko wygląda jak sandbox, malware po prostu kończy pracę. Ktoś zadał sobie sporo trudu, aby ukryć swoje działania.
Czytaj również: Hakerzy masowo atakują komputery. Wszystko przez popularną usługę
Odpowiedzialność
RedTiger jest narzędziem otwartym, legalnym i użytecznym… w dobrych rękach. Problem w tym, że cyberprzestępcy coraz rzadziej piszą własne malware. Po co? Mają dostęp do darmowych frameworków, które zdejmują z nich ciężar techniczny i ryzyko błędów. Potem dostosowują zupełnie „legitne” projekty pod siebie. A to już bardzo niebezpieczne – jak widać – zjawisko.
