【安全圈】黑客利用基于 redtiger 的信息窃取工具窃取 Discord 账户

关键词

黑客

据安全研究员观察，攻击者正利用开源红队工具 RedTiger，构建一款可窃取 Discord 账户数据与支付信息的信息窃取恶意软件。该恶意软件还能盗取浏览器中存储的凭证、加密货币钱包数据及游戏账号信息。

RedTiger 是一款基于 Python 开发的渗透测试套件，支持 Windows 和 Linux 系统。其集成功能丰富，包括网络扫描、密码破解、开源情报（OSINT）相关工具、Discord 专用工具，以及恶意软件生成器。

RedTiger 中的 Discord 相关工具

其中的信息窃取模块具备标准窃取能力：可获取系统信息、浏览器 Cookie 与密码、加密货币钱包文件、游戏文件，以及 Roblox 和 Discord 相关数据。同时，它还能捕捉受害者的摄像头快照与屏幕截图。

尽管该项目在 GitHub 上标注其危险功能 " 仅允许合法使用 "，但免费无限制的分发模式，加之缺乏任何防护机制，使其极易被恶意滥用。

攻击目标与传播方式：聚焦法国 Discord 用户

RedTiger 的恶意软件构建器

据报告，威胁者目前正滥用 RedTiger 的信息窃取模块，攻击目标主要集中在法国的 Discord 用户。攻击者通过 PyInstaller 将 RedTiger 的代码编译为独立可执行文件，并为其命名为与游戏或 Discord 相关的名称，以诱导用户点击。

关于该恶意软件的传播途径，尚未披露具体细节，但常见方式包括 Discord 频道、恶意软件下载网站、论坛帖子、恶意广告及 YouTube 视频。

攻击流程：多维度窃取数据，通过云存储传输

1. 植入与扫描：恶意软件植入受害者设备后，会扫描 Discord 相关文件与浏览器数据库文件；

2. 提取核心数据：通过正则表达式提取明文及加密的 Discord 令牌，验证有效性后，获取用户个人资料、邮箱、多因素认证状态与订阅信息；

3. 注入脚本拦截行为：向 Discord 的 index.js 文件注入自定义 JavaScript 代码，拦截 API 调用，捕捉登录尝试、购买操作甚至密码修改等事件，同时提取 Discord 中存储的支付信息（如 PayPal 账户、信用卡信息）；

恶意软件针对的 Discord 数据

4. 拓展窃取范围：从浏览器中收集保存的密码、Cookie、浏览历史、信用卡信息及浏览器扩展程序数据，同时捕捉桌面截图，并扫描文件系统中的 TXT、SQL 及 ZIP 格式文件；

5. 数据传输：收集完所有数据后，恶意软件会将文件归档，上传至支持匿名上传的云存储服务 GoFile，再通过 Discord 网络钩子（webhook）将下载链接与受害者元数据发送给攻击者。

反检测机制：多重手段规避分析

RedTiger 具备完善的反检测能力：内置反沙箱机制，检测到调试器时会自动终止运行；同时会生成 400 个进程、创建 100 个随机文件，以此干扰取证分析工作。

在主机上发送欺骗性文件和进程来源

用户应避免从未经验证的来源下载可执行文件或游戏工具，例如模组、" 修改器 " 或 " 加速器 "。疑似遭入侵后，应撤销 Discord 令牌，修改相关密码，并从官方网站重新安装 Discord 桌面客户端；清除浏览器中保存的各类数据；为所有账户启用多因素认证。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！