Os piratas informáticos estão a utilizar uma ferramenta open-source de "red-teaming", conhecida como RedTiger, para construir um perigoso infostealer (ladrão de informação) que tem como alvo principal as contas do Discord, roubando dados de acesso e informações de pagamento. Mas a ameaça não se fica por aqui, conseguindo também roubar credenciais guardadas no navegador, dados de carteiras de criptomoedas e até contas de jogos.
O RedTiger é um conjunto de ferramentas de teste de penetração, baseado em Python e disponível no GitHub, projetado para sistemas Windows e Linux. Embora inclua utilitários para análise de redes, quebra de palavras-passe e recolha de informação, o seu propósito é, supostamente, legítimo. No entanto, a sua distribuição livre e sem salvaguardas torna-o uma arma fácil para fins maliciosos.
Segundo um relatório da Netskope, os atacantes estão a abusar do componente de roubo de informação do RedTiger, focando-se principalmente em utilizadores do Discord em França.
Como funciona o ataque do RedTiger?
Os atacantes compilam o código do RedTiger em ficheiros executáveis, dando-lhes nomes relacionados com jogos ou com o próprio Discord para enganar as vítimas. Uma vez instalado no computador, o malware procura imediatamente por ficheiros de base de dados do Discord e dos navegadores.
A partir daí, extrai tokens de autenticação, tanto em texto simples como encriptados, e valida-os para obter acesso ao perfil, email, estado da autenticação de múltiplos fatores (MFA) e informações de subscrição do utilizador.
O ataque vai mais longe ao injetar código JavaScript personalizado no ficheiro index.js do Discord. Esta técnica permite-lhe intercetar chamadas à API e capturar eventos críticos, como tentativas de login, compras ou até alterações de palavra-passe. Além disso, consegue extrair informações de pagamento, como dados de PayPal e cartões de crédito, que estejam guardadas na plataforma.
Um ladrão silencioso e difícil de detetar
O RedTiger não se limita ao Discord. O malware vasculha os navegadores web da vítima para roubar palavras-passe guardadas, cookies, histórico de navegação e cartões de crédito. Consegue ainda capturar imagens do ecrã e da webcam, e procura por ficheiros .txt, .sql e .zip no sistema.
Depois de recolher todos estes dados, o malware arquiva-os e carrega-os para o GoFile, um serviço de armazenamento na nuvem que permite uploads anónimos. O link para descarregar os dados roubados é depois enviado ao atacante através de um webhook do Discord, juntamente com metadados da vítima.
Para dificultar a sua deteção, o RedTiger está equipado com mecanismos anti-sandbox e termina a sua execução se detetar a presença de ferramentas de depuração. Para sobrecarregar a análise forense, o malware chega a criar 400 processos e 100 ficheiros aleatórios.
Como se pode proteger deste novo malware?
A Netskope não detalhou os vetores de distribuição específicos, mas é provável que estes incluam canais de Discord, sites maliciosos de download de software, publicações em fóruns, malvertising e vídeos no YouTube.
Para se proteger, é fundamental evitar descarregar ficheiros executáveis ou ferramentas de jogos, como mods e "trainers", de fontes não verificadas.
Se suspeita que o seu sistema foi comprometido, deve revogar imediatamente os tokens do Discord, alterar as suas palavras-passe e reinstalar o cliente de desktop do Discord a partir do site oficial. É igualmente importante limpar os dados guardados nos seus navegadores e ativar a autenticação de múltiplos fatores em todos os serviços possíveis.
Nenhum comentário
Seja o primeiro!