攻撃者はオープンソースのレッドチームツール「RedTiger」を利用して、Discordアカウントのデータや支払い情報を収集するインフォスティーラーを作成しています。

このマルウェアは、ブラウザに保存された認証情報、暗号通貨ウォレットのデータ、ゲームアカウントも盗むことができます。

RedTigerは、WindowsおよびLinux向けのPythonベースのペネトレーションテストスイートで、ネットワークスキャンやパスワードクラッキング、OSINT関連のユーティリティ、Discord特化ツール、マルウェアビルダーなどの機能を備えています。

RedTigerのインフォスティーラーコンポーネントは、システム情報、ブラウザのクッキーやパスワード、暗号通貨ウォレットファイル、ゲームファイル、RobloxやDiscordのデータの窃取など、標準的な機能を備えています。また、被害者のウェブカメラのスナップショットや画面のスクリーンショットも取得可能です。

このプロジェクトは危険な機能を「合法的な用途のみ」と< a href="https://github.com/loxy0dev/RedTiger-Tools" target="_blank" rel="nofollow noopener">GitHub上で明記していますが、無償かつ無条件で配布されており、セーフガードもないため悪用が容易です。

Netskopeのレポートによると、脅威アクターは現在RedTigerのインフォスティーラーコンポーネントを悪用し、主にフランスのDiscordアカウント保有者を標的にしています。

攻撃者はPyInstallerを使ってRedTigerのコードをスタンドアロンバイナリにコンパイルし、ゲームやDiscord関連の名前を付けています。

インフォスティーラーが被害者のマシンにインストールされると、Discordやブラウザのデータベースファイルをスキャンします。その後、正規表現を使って平文・暗号化トークンを抽出し、トークンを検証、プロフィール、メール、二要素認証、サブスクリプション情報を取得します。

次に、Discordのindex.jsにカスタムJavaScriptを注入し、APIコールを傍受してログイン試行や購入、パスワード変更などのイベントをキャプチャします。また、Discordに保存されている支払い情報（PayPal、クレジットカード）も抽出します。

RedTigerは被害者のウェブブラウザから保存されたパスワード、クッキー、履歴、クレジットカード、ブラウザ拡張機能を収集します。さらに、デスクトップのスクリーンショットを取得し、ファイルシステム上の.TXT、.SQL、.ZIPファイルをスキャンします。

データ収集後、マルウェアはファイルをアーカイブし、匿名アップロードが可能なクラウドストレージサービス「GoFile」にアップロードします。ダウンロードリンクは被害者のメタデータとともにDiscordのWebhook経由で攻撃者に送信されます。

回避策として、RedTigerはアンチサンドボックス機能を備えており、デバッガが検出されると終了します。また、400個のプロセスを起動し、100個のランダムファイルを作成してフォレンジック解析を妨害します。

Netskopeは武装化されたRedTigerバイナリの具体的な配布経路を明らかにしていませんが、一般的な手法としてはDiscordチャンネル、悪意あるソフトウェアダウンロードサイト、フォーラム投稿、マルバタイジング、YouTube動画などが挙げられます。

ユーザーは、未確認のソースから実行ファイルやゲームツール（MOD、「トレーナー」、「ブースター」など）をダウンロードしないよう注意してください。

感染が疑われる場合は、Discordトークンを無効化し、パスワードを変更し、公式サイトからDiscordデスクトップクライアントを再インストールしてください。また、ブラウザの保存データを消去し、すべてのサービスで多要素認証（MFA）を有効にしましょう。