Siber saldırganlar, açık kaynaklı RedTiger aracını kötüye kullanarak Discord hesaplarını ele geçirmeye başladı. Uzmanlar, saldırıların kullanıcı verilerini, tarayıcıda kayıtlı şifreleri, kripto cüzdan bilgilerini ve oyun hesaplarını hedef aldığını açıkladı.
RedTiger Aracı Siber Saldırılarda Kullanılmaya Başladı
Python tabanlıRedTiger normalde siber güvenlik uzmanları için geliştirilmiş bir penetrasyon test aracı olarak hizmet veriyor. Windows ve Linux sistemlerinde çalışan bu araç, ağ taraması, parola kırma, açık kaynaklı istihbarat toplama ve zararlı yazılım oluşturma gibi özellikler sunuyor. Ancak bu işlevler, kötü niyetli kişiler tarafından yeniden düzenlenerek bilgi hırsızlığı amacıyla kullanılıyor.
RedTiger’daki Discord ile ilgili araçlar
Güvenlik firması Netskope’un raporuna göre saldırganlar, RedTiger kodunu PyInstaller ile derleyip bağımsız çalıştırılabilir dosyalar hâline getiriyor. Bu dosyalar genellikle oyun eklentisi veya Discord aracı gibi isimlerle dağıtılıyor.
RedTiger’ın kötü amaçlı yazılım oluşturucusu
RedTiger tabanlı zararlı yazılım, kurbanın bilgisayarına yüklendikten sonra Discord ve web tarayıcılarına ait veritabanlarını tarıyor. Yazılım, düzenli ifadeler (regex) yardımıyla kullanıcı jetonlarını çıkarıyor, geçerli olanları doğruluyor ve hesaba ait e-posta, profil, çok faktörlü kimlik doğrulama ve abonelik bilgilerini topluyor.
Kötü amaçlı yazılımın hedef aldığı Discord verileri
Ayrıca Discord’un “index.js” dosyasına özel bir kod enjekte edilerek oturum açma, parola değiştirme ve satın alma gibi işlemler takip ediliyor. Yazılım, Discord üzerinde kayıtlı kredi kartı ve PayPal bilgilerini de kopyalıyor.
RedTiger yalnızca Discord verilerini değil, tarayıcılarda kayıtlı tüm bilgileri de hedef alıyor. Kaydedilmiş parolalar, çerezler, geçmiş kayıtları, kredi kartı verileri ve uzantılar yazılım tarafından toplanıyor. Ayrıca masaüstü ekran görüntüleri alınıyor ve sistemdeki .TXT, .SQL, .ZIP gibi dosyalar aranıyor.
Toplanan bilgiler, bir arşiv dosyası hâline getirilip GoFile platformuna yükleniyor. Saldırganlar, bu dosyaların indirme bağlantılarını Discord web kancası (webhook) üzerinden alıyor. RedTiger’ın kötü amaçlı sürümleri, analiz araçlarını fark ettiğinde kendini durdurabiliyor. Yazılım, hata ayıklama (debugger) tespiti yaptığında çalışmayı sonlandırıyor. Ayrıca sistemde 400 kadar sahte işlem başlatarak ve 100 rastgele dosya oluşturarak inceleme süreçlerini zorlaştırıyor.
Uzmanlara göre bu teknikler, zararlı yazılımın tespit edilmesini güçleştiriyor. Saldırganlar, bu sayede güvenlik araştırmacılarının sistem davranışını izlemesini engelliyor.
Ana bilgisayarda aldatıcı dosya ve işlemlerin spam altında kalması
Netskope raporuna göre RedTiger temelli saldırılar ağırlıklı olarak Fransız Discord kullanıcılarını hedef alıyor. Ancak benzer yöntemlerin kısa sürede farklı bölgelerde de görülebileceği ifade ediliyor. Uzmanlar, kullanıcıların doğrulanmamış kaynaklardan dosya indirmemesi gerektiğini belirtiyor. Özellikle “mod”, “trainer” veya “booster” gibi oyun eklentisi dosyalarının büyük risk taşıdığı bildiriliyor.
Herhangi bir şüpheli durum fark eden kullanıcıların Discord jetonlarını iptal etmesi, şifrelerini yenilemesi ve uygulamayı resmî site üzerinden yeniden yüklemesi öneriliyor. Ayrıca tarayıcı verilerinin temizlenmesi ve tüm hesaplarda çok faktörlü kimlik doğrulamanın etkinleştirilmesi tavsiye ediliyor.
