Les joueurs sont une fois de plus la cible d'une cyberattaque. Des chercheurs de Netskope ont identifié plusieurs campagnes malveillantes utilisant RedTiger, un outil de simulation d'attaque open source en Python. Il est détourné de son usage légitime pour faire office de malware de type infostealer, avec une apparente prédilection pour les utilisateurs francophones.
Comment le malware parvient-il à voler les données Discord ?
La principale force de RedTiger réside dans son attaque contre Discord. Le malware ne se contente pas de scanner les fichiers de la victime à la recherche de tokens d'authentification. Il va plus loin en modifiant le client Discord lui-même.
Selon Netskope, il injecte un JavaScript personnalisé dans le fichier index.js de l'application. Cette injection lui permet d'intercepter les appels d'API et de capturer des événements, comme les tentatives de connexion, les achats, et même les changements de mot de passe ou d'e-mail.
Quelles autres informations sont menacées ?
L'appétit de RedTiger ne s'arrête pas à Discord. L'outil ratisse large et collecte un ensemble varié de données sensibles. Il cible les informations stockées dans les navigateurs web (mots de passe, cookies, historique, etc.) et s'attaque aux portefeuilles de cryptomonnaies.
Alors que les comptes de Roblox sont également dans le viseur, le malware peut aussi capturer des instantanés de la webcam et des captures d'écran du bureau de la victime. Enfin, il recherche activement des fichiers portant les extensions .txt, .sql ou .zip.
Comment les attaquants masquent-ils leurs traces ?
RedTiger utilise une méthode d'exfiltration en deux étapes pour envoyer les données volées. D'abord, il archive toutes les informations collectées et les transmet sur le service de stockage cloud GoFile.
Ensuite, le lien de téléchargement GoFile est envoyé à l'attaquant via un webhook Discord. Pour brouiller les pistes lors de l'analyse, le malware est aussi capable de saturer les ressources du système en créant 100 fichiers aléatoires et en lançant 400 processus simultanément, rendant l'analyse plus complexe.
Les experts de Netskope soulignent que si ce malware cible aujourd'hui les joueurs, ses capacités pourraient le guider vers d'autres horizons, et jusqu'à servir de vecteur d'accès initial pour des ransomwares.
