RedTiger prende di mira i gamer: furto di account Discord e dati di pagamento

Aggressori citati da Netskope stanno sfruttando una suite di sicurezza open-source chiamata RedTiger e sviluppata in Python, per condurre campagne di furto dati mirate principalmente agli utenti della piattaforma Discord. Secondo un'analisi condotta dalla società di sicurezza, il malware viene distribuito sotto forma di file eseguibili compilati con PyInstaller, mascherati da strumenti per videogiochi o utility per Discord.

RedTiger nasce come strumento più o meno legittimo per attività di red teaming su sistemi Windows e Linux, integrando funzionalità per la scansione di reti, cracking di password e raccolta di intelligence open-source. Tuttavia, la sua distribuzione gratuita su GitHub e l'assenza di meccanismi di protezione ne hanno facilitato l'abuso da parte dei cybercriminali. Una volta installato sul sistema della vittima, il malware effettua una scansione approfondita alla ricerca dei file di configurazione di Discord e dei database dei browser, estraendo token di autenticazione sia in chiaro che crittografati mediante espressioni regolari.

La tecnica più sofisticata impiegata da RedTiger consiste nell'iniezione di codice JavaScript personalizzato nel file index.js del client Discord, metodologia che permette al malware di intercettare le chiamate API e catturare in tempo reale eventi come tentativi di accesso, acquisti e modifiche delle credenziali. L'infostealer estrae inoltre informazioni di profilo, indirizzi email, configurazioni di autenticazione a più fattori e dettagli sugli abbonamenti attivi, ed è in grado di raccogliere dati relativi a PayPal e carte di credito memorizzate sulla piattaforma.

RedTiger può sottrarre dati anche dai browser di navigazione, recuperando ad esempio password salvate, cookie, cronologia di navigazione, informazioni su carte di credito ed estensioni installate. Il malware cattura anche screenshot del desktop e analizza il filesystem alla ricerca di file, con particolare attenzione rivolta verso portafogli di criptovalute e agli account di piattaforme gaming come Roblox, ampliando significativamente il raggio d'azione dell'attacco.

Dopo aver completato la fase di raccolta, lo strumento comprime tutti i dati sottratti in archivi e li carica su GoFile, un servizio di cloud storage che consente upload anonimi senza necessità di registrazione. Il link per il download viene successivamente trasmesso agli attaccanti attraverso un webhook Discord, accompagnato da metadati relativi al sistema della vittima, con un approccio che garantisce un elevato livello di anonimato rendendo complessa la tracciabilità delle operazioni. Anche sul fronte delle tecniche di evasione RedTiger si dimostra particolarmente attrezzato: implementa meccanismi anti-sandbox e termina la propria esecuzione quando rileva la presenza di debugger.

Per complicare ulteriormente l'analisi forense, il malware genera simultaneamente circa 400 processi e crea un centinaio di file casuali, sovraccaricando il sistema e inquinando i log di analisi. Sebbene Netskope non abbia individuato con precisione tutti i vettori di distribuzione, le modalità più comuni includono canali Discord, siti di download malevoli, post su forum, pubblicità ingannevoli e video YouTube che promettono mod, trainer o booster per videogiochi.

I consigli in casi come questi sono banali (ma non per tutti): evitare categoricamente il download di file eseguibili o strumenti di gioco da fonti non verificate. In caso di sospetta compromissione, è necessario revocare immediatamente i token Discord, modificare tutte le password associate e reinstallare il client ufficiale della piattaforma scaricandolo dal sito ufficiale. È inoltre consigliabile eliminare i dati salvati dai browser e abilitare l'autenticazione a più fattori su tutti i servizi utilizzati, sebbene va precisato che RedTiger possa comunque intercettare i token anche in presenza di MFA attivo.