黑客利用基于redtiger的信息竊取工具竊取Discord賬戶

據安全研究員觀察，攻擊者正利用開源紅隊工具RedTiger，構建一款可竊取Discord賬戶數據與支付信息的信息竊取惡意軟件。該惡意軟件還能盜取瀏覽器中存儲的憑證、加密貨幣錢包數據及游戲賬號信息。

RedTiger是一款基于Python開發的滲透測試套件，支持Windows和Linux系統。其集成功能豐富，包括網絡掃描、密碼破解、開源情報（OSINT）相關工具、Discord專用工具，以及惡意軟件生成器。

RedTiger中的Discord相關工具

其中的信息竊取模塊具備標準竊取能力：可獲取系統信息、瀏覽器Cookie與密碼、加密貨幣錢包文件、游戲文件，以及Roblox和Discord相關數據。同時，它還能捕捉受害者的攝像頭快照與屏幕截圖。

盡管該項目在GitHub上標注其危險功能“僅允許合法使用”，但免費無限制的分發模式，加之缺乏任何防護機制，使其極易被惡意濫用。

攻擊目標與傳播方式：聚焦法國Discord用戶

RedTiger 的惡意軟件構建器

據報告，威脅者目前正濫用RedTiger的信息竊取模塊，攻擊目標主要集中在法國的Discord用戶。攻擊者通過PyInstaller將RedTiger的代碼編譯為獨立可執行文件，并為其命名為與游戲或Discord相關的名稱，以誘導用戶點擊。

關于該惡意軟件的傳播途徑，尚未披露具體細節，但常見方式包括Discord頻道、惡意軟件下載網站、論壇帖子、惡意廣告及YouTube視頻。

攻擊流程：多維度竊取數據，通過云存儲傳輸

1. 植入與掃描：惡意軟件植入受害者設備后，會掃描Discord相關文件與瀏覽器數據庫文件；

2. 提取核心數據：通過正則表達式提取明文及加密的Discord令牌，驗證有效性后，獲取用戶個人資料、郵箱、多因素認證狀態與訂閱信息；

3. 注入腳本攔截行為：向Discord的index.js文件注入自定義JavaScript代碼，攔截API調用，捕捉登錄嘗試、購買操作甚至密碼修改等事件，同時提取Discord中存儲的支付信息（如PayPal賬戶、信用卡信息）；

惡意軟件針對的 Discord 數據

4. 拓展竊取范圍：從瀏覽器中收集保存的密碼、Cookie、瀏覽歷史、信用卡信息及瀏覽器擴展程序數據，同時捕捉桌面截圖，并掃描文件系統中的TXT、SQL及ZIP格式文件；

5. 數據傳輸：收集完所有數據后，惡意軟件會將文件歸檔，上傳至支持匿名上傳的云存儲服務GoFile，再通過Discord網絡鉤子（webhook）將下載鏈接與受害者元數據發送給攻擊者。

反檢測機制：多重手段規避分析

RedTiger具備完善的反檢測能力：內置反沙箱機制，檢測到調試器時會自動終止運行；同時會生成400個進程、創建100個隨機文件，以此干擾取證分析工作。

在主機上發送欺騙性文件和進程來源

用戶應避免從未經驗證的來源下載可執行文件或游戲工具，例如模組、“修改器”或“加速器”。疑似遭入侵后，應撤銷Discord令牌，修改相關密碼，并從官方網站重新安裝Discord桌面客戶端；清除瀏覽器中保存的各類數據；為所有賬戶啟用多因素認證。

參考及來源：https://www.bleepingcomputer.com/news/security/hackers-steal-discord-accounts-with-redtiger-based-infostealer/