Netskope identifica un tool di red teaming open source che viene abusato per il furto di credenziali e informazioni sensibili, con un focus evidente sui profili Discord e sui giocatori. RedTiger si presenta come un framework modulare sviluppato in Python, reso pubblico su GitHub nel 2024 e poi forkato da attori malevoli che ne hanno convertito il codice in eseguibili tramite PyInstaller. Le analisi mostrano un infostealer capace di iniettare codice, estrarre token, raccogliere credenziali dai browser e copiare dati di gioco e wallet, esfiltrando i pacchetti tramite servizi anonimi come GoFile e canali Discord. Le tecniche includono raccolta di screenshot, snapshot della webcam, parsing avanzato di database e richieste HTTP per validare token; la persistenza è cross-platform su Windows, Linux e macOS. L’evoluzione del repository pubblico in una minaccia attiva evidenzia come gli strumenti di red teaming possano trasformarsi in armi per il cybercrime quando vengono modificati e redistribuiti.
Cosa leggere
Funzionalità principali dell’infostealer
L’ossatura dell’infostealer integrato in RedTiger si basa su moduli specializzati che prendono di mira profili utente, dati di pagamento e artefatti dei giochi. Il componente JavaScript iniettato nel client Discord intercetta eventi applicativi e traffico, consentendo agli attaccanti di estrarre direttamente i token di sessione, gli username, gli ID utente, le email e lo stato di verifica dei profili. Il malware interroga le API di servizi come Discord, Braintree e Stripe per recuperare informazioni aggiuntive sul livello di abbonamento e sugli elementi di pagamento. I moduli per i browser estraggono password, cookie e dati di carta salvati: l’elenco dei browser presi di mira include le principali varianti di Chromium e numerosi fork meno noti, oltre a browser come Firefox e Safari. Per i giochi e le piattaforme gaming, RedTiger copia file di salvataggio e configurazioni, mentre per Roblox esegue estrazioni mirate di cookie e dati API. Le capacità di cattura includono screenshot dello schermo principale tramite librerie grafiche e snapshot webcam con OpenCV; i file raccolti vengono compressi e classificati con suffissi casuali per occultare il contenuto.
Modalità di distribuzione e persistenza
I campioni osservati arrivano come binari generati con PyInstaller; questa scelta consente la distribuzione come file eseguibili che non richiedono Python installato sulla macchina vittima. I nomi dei file riportano frequentemente riferimenti al mondo gaming, elemento che attira utenti che cercano mod, tool o cheat. Alcuni artefatti contengono avvisi in francese, suggerendo campagne mirate a utenti francofoni. La persistenza richiede normalmente un passaggio manuale nella fase di build, ma gli attaccanti spesso configurano script o avviano procedure che aggiungono il malware all’avvio di sistema: su Windows tramite voci startup, su macOS tramite LaunchAgents e plist installati manualmente, su Linux copiando script in autostart. Non tutte le build includono meccanismi di avvio automatico completi; tuttavia, le varianti che li integrano garantiscono esecuzione prolungata e raccolta in background. L’uso di repository pubblici facilita la rapidità di diffusione: attori malevoli forkano il codice originale, ne modificano le funzionalità e rilasciano eseguibili su canali alternativi, mascherandoli con nomi familiari per il target.
Tecniche di esfiltrazione e canali abusati
RedTiger archivia i dati raccolti localmente in file compressi e poi sfrutta servizi di upload anonimi come GoFile per l’hosting temporaneo. Questo passaggio permette agli aggressori di ottenere link di download condivisibili senza creare infrastrutture C2 direttamente individuabili. Come canale immediato di notifica e controllo, l’infostealer sfrutta webhook Discord, inviando agli operatori dettagli su IP, paese, hostname e link per scaricare gli archivi. Questo approccio riduce il costo operativo per gli attaccanti e sfrutta piattaforme legittime per mimetizzare il trasferimento dei dati. La validazione dei token avviene mediante richieste HTTP dirette alle API, così da confermare la validità delle credenziali sottratte e massimizzare il valore del materiale esfiltrato. L’uso combinato di upload su servizi pubblici e notifiche via webhook crea una pipeline automatizzata che accelera l’uso immediato dei token o la vendita dei dettagli su mercati illeciti.
Evasione, sabotaggio e ostacolo all’analisi
Il progetto include numerose contromisure per impedire l’analisi in sandbox e l’intervento dei ricercatori. RedTiger controlla la presenza di account predefiniti dei sistemi di analisi e confronta hostname e ID hardware con liste note per terminare l’esecuzione in ambienti sospetti. Modifica il file hosts per reindirizzare domini di servizi di sicurezza verso localhost, ostacolando aggiornamenti o rilevazioni di vendor. Il codice può generare una grande quantità di file spazzatura e lanciare centinaia di thread e istanze di processi per sovraccaricare risorse e confondere strumenti forensi. Alcune build arrivano a terminare processi di debugging o strumenti di analisi noti, mentre altre includono trigger che attivano sabotaggi solo in presenza di determinate condizioni. Queste tecniche complicano l’analisi manuale e automatica, allungano il tempo necessario per la risposta e aumentano la probabilità che il payload rimanga attivo più a lungo.
Implicazioni per la sicurezza dei giocatori e delle comunità Discord
La combinazione di targeting su gamer e focus su Discord evidenzia un vettore di rischio crescente per le comunità online. Il furto di token Discord consente hijacking di account, spostamento di accessi a server e abuso di capacità amministrative, con potenziali ricadute su comunità, bot e canali di vendita di oggetti digitali. Dati di pagamento e informazioni personali estratte espongono le vittime a frodi finanziarie e furto d’identità. La presenza di file di gioco rubati e di cookie relativi alle piattaforme di gaming può facilitare l’accesso a beni virtuali o a servizi associati agli account. L’uso di repository pubblici come punto di partenza rende possibile a operatori opportunisti creare varianti con funzionalità ulteriori, aumentando la superficie d’attacco. Per le organizzazioni e gli operatori di piattaforme comunitarie, il rischio include abuso dei canali per esfiltrare informazioni e la necessità di bloccare webhook compromessi e link provenienti da servizi di hosting anonimi.
Indicazioni tecniche per la mitigazione
Le organizzazioni di sicurezza e i provider di piattaforme dovrebbero monitorare pattern di upload su servizi anonimi e correlare segnali con attività di webhook Discord sospette. Blocchi a livello di rete che impediscono upload verso domini di hosting anonimo e filtri su payload compressi possono ridurre l’efficacia dell’esfiltrazione. Hardening dei client Discord, controllo delle estensioni e monitoraggio dei processi di sistema aiutano a limitare l’iniezione di codice. Per i giocatori, è fondamentale evitare download da fonti non ufficiali, verificare firme e checksum degli eseguibili e usare autenticazione forte con protezioni MFA non basate solo su token persistenti. Le soluzioni EDR e sandbox devono includere regole per rilevare termini e pattern tipici di strumenti PyInstaller e riconoscere attività anomale come rapida creazione di file spazzatura o tentativi di terminazione di processi di analisi. Infine, la revoca tempestiva dei token compromessi e la rotazione delle credenziali riducono il danno post-furto. RedTiger dimostra come un framework open source per il red teaming, una volta forkato e trasformato in eseguibile, possa diventare un infostealer multifunzionale con meccanismi di evasione avanzati e pipeline di esfiltrazione automatizzate. Le caratteristiche chiave che ne aumentano il pericolo sono la capacità di iniettare JavaScript nel client Discord per sottrarre token, il supporto esteso ai browser per l’estrazione di credenziali e carte, la compressione automatica dei dati e il trasferimento tramite servizi anonimi. Dal punto di vista operativo, la minaccia richiede un approccio multilivello: hardening dei client, monitoraggio dei canali di upload, analisi comportamentale a runtime e meccanismi rapidi di invalidazione dei token. La trasformazione di strumenti legittimi in codice weaponizzato evidenzia la necessità di controlli sulle origini del software utilizzato nelle comunità gaming e di pratiche di sicurezza focalizzate sull’educazione degli utenti.
