概要:RedTigerを利用したDiscordアカウント窃取
攻撃者たちは、オープンソースのレッドチームツールであるRedTigerを悪用し、Discordアカウントデータや支払い情報を収集するインフォスティーラーを構築しています。このマルウェアは、ブラウザに保存された認証情報、仮想通貨ウォレットデータ、ゲームアカウントなども盗み出すことが可能です。
RedTigerとは?
RedTigerは、WindowsおよびLinux向けのPythonベースのペネトレーションテストスイートです。ネットワークスキャンやパスワードクラッキング、OSINT関連ユーティリティ、Discordに特化したツール、そしてマルウェアビルダーなどの機能をバンドルしています。
RedTigerの主な機能(インフォスティーラー関連)
- システム情報、ブラウザのクッキーとパスワードの窃取
- 仮想通貨ウォレットファイル、ゲームファイル、RobloxおよびDiscordデータの窃取
- ウェブカメラのスナップショットと被害者の画面のスクリーンショットのキャプチャ
プロジェクトはGitHub上で危険な機能を「合法的な使用のみ」と明記していますが、その無料かつ無条件の配布と安全対策の欠如により、容易に悪用されています。
攻撃の詳細とNetskopeの報告
Netskopeの報告によると、脅威アクターはRedTigerのインフォスティーラーコンポーネントを悪用しており、主にフランスのDiscordアカウント保持者を標的にしています。攻撃者はRedTigerのコードをPyInstallerでコンパイルし、ゲームやDiscord関連の名前を付けたスタンドアロンバイナリを作成しています。
Discordデータ窃取のメカニズム
インフォスティーラーが被害者のマシンにインストールされると、Discordおよびブラウザのデータベースファイルをスキャンします。その後、正規表現を介して平文および暗号化されたトークンを抽出し、トークンを検証して、プロフィール、メール、多要素認証、およびサブスクリプション情報を引き出します。
さらに、Discordのindex.jsにカスタムJavaScriptを注入し、ログイン試行、購入、パスワード変更などのAPIコールを傍受します。これにより、Discordに保存されている支払い情報(PayPal、クレジットカード)も抽出されます。
ブラウザおよびファイルからのデータ窃取
被害者のウェブブラウザからは、保存されたパスワード、クッキー、履歴、クレジットカード、およびブラウザ拡張機能が収集されます。また、マルウェアはデスクトップのスクリーンショットをキャプチャし、ファイルシステム上の.TXT、.SQL、.ZIPファイルをスキャンします。
データ流出と回避技術
収集されたデータはアーカイブされ、匿名アップロードを許可するクラウドストレージサービスであるGoFileにアップロードされます。ダウンロードリンクは、被害者のメタデータと共にDiscordのウェブフックを介して攻撃者に送信されます。
RedTigerは回避策も充実しており、アンチサンドボックスメカニズムを備え、デバッガーが検出されると終了します。また、マルウェアは400のプロセスを生成し、100のランダムなファイルを作成してフォレンジック分析を妨害します。
推奨される対策
武器化されたRedTigerバイナリの明確な配布経路はNetskopeから共有されていませんが、一般的な方法としてはDiscordチャンネル、悪意のあるソフトウェアダウンロードサイト、フォーラム投稿、マルバタイジング、YouTube動画などが考えられます。
ユーザーが取るべき行動
- 未検証のソースからの実行可能ファイルやゲームツール(MOD、トレーナー、ブースターなど)のダウンロードを避ける。
- 侵害が疑われる場合は、Discordトークンを失効させ、パスワードを変更し、公式サイトからDiscordデスクトップクライアントを再インストールする。
- ブラウザから保存されたデータをクリアし、すべての場所でMFA(多要素認証)を有効にする。