Kiber cinayətkarlar açıq mənbəli bir penetrasiya testi alətini yenidən tərtib edib Discord və brauzer hesablarını ələ keçirməyi hədəfləyən yeni hücum dalğası başlatıblar. Python əsaslı RedTiger adlı alət təhlükəsizlik tədqiqatçıları üçün nəzərdə tutulsa da, pis niyyətli şəxslərin əlinə keçərək güclü məlumat oğurlama vasitəsinə çevrilib.
 

RedTiger nədir və necə sui-istifadə olunur?
 

RedTiger ilkin olaraq şəbəkə scanı, parol qırma, açıq mənbə kəşfiyyatı (OSINT) toplama və zərərli nümunələr yaratma qabiliyyətlərinə malik penetrasiya testi aləti kimi hazırlanıb. Lakin hücumçular alətin kodunu PyInstaller kimi tərtib edicilərdən istifadə edərək müstəqil işləyən .exe fayllarına çevirir, sonra isə bunu oyun modulu və ya Discord köməkçi aləti kimi aldadıcı adlarla saxta paylanışlar şəklində yayırlar. Belə faylları işə salan istifadəçinin sistemi arxa qapı funksiyalı zərərli proqramla yoluxur.
 

Hədəflər: Discord, brauzer məlumatları və rəqəmsal pulqabılar
 

RedTiger əsasında hazırlanmış zərərli nümunələr işləyən kimi ilk olaraq Discord müştərisini və məşhur veb brauzerlərin məlumat bazalarını skan etməyə başlayır. Mütəxəssislər deyirlər ki, regex (nizamlı ifadələr) vasitəsilə Discord tokenləri çıxarılır, etibarlı olanlar təsdiqlənir və hesabla bağlı e‑poçt, profil məlumatları, qeydiyyatdan keçmiş ödəmə seçimləri, iki faktorlu məlumatlar və abunə məlumatları toplanır. Bundan əlavə, Discord-un index.js faylına yeridilmiş kod vasitəsilə sessiya fəaliyyəti, şifrə dəyişdirmə və alış əməliyyatları canlı izlənilə bilir — beləcə hücumçular kredit kartı və PayPal məlumatlarına da çıxış əldə edə bilirlər.Brauzer tərəfdən isə saxlanılmış parollar, kukilər, tarixçə, qeydiyyata alınmış kredit kartı məlumatları və uzantılar hədəfə alınır. Proqram masaüstündən ekran görüntüləri götürə, sistemdəki .txt, .sql, .zip və s. fayllar üzərində axtarış edə bilir.
 

Məlumatlar necə xaricə çıxarılır?
 

Toplanmış məlumatlar arxivləşdirilərək üçüncü tərəf fayl paylaşım xidmətlərinə yüklənir. Hücumçular həmin faylların yükləmə keçidlərini Discord webhook-ları vasitəsilə alıb idarə edirlər. Zərərli nümunələrin bir hissəsi analiz alətlərini və ya virtual mühitləri aşkar etdikdə işləməyi dayandırır ki, bu da təhlükəsizlik tədqiqatçılarının analizini çətinləşdirir. Hətta bəzi nümunələr minlərlə saxta əməliyyat yaradaraq və təsadüfi fayllar generasiya edərək davranış analizini yanıltmağa çalışır.
 

Hücumlar hansı regionları hədəfləyir?
 

Təhlükəsizlik analizləri göstərir ki, bu hücum dalğası xüsusilə Fransa məkanındakı Discord istifadəçilərini hədəfləyib. Lakin istifadə olunan paylanma üsulları və fəaliyyət məntiqi göstərir ki, eyni texnika coğrafi məhdudiyyət olmadan sürətlə yayılmaq potensialına malikdir. Hücumlar adətən oyun icmaları, hile/mod paylaşılan qruplar və üçüncü tərəf eklentilər axtaran istifadəçilər vasitəsilə başlayır.
 

Hansı tədbirlər görülməlidir?
 

Təhlükəsizlik mütəxəssisləri vurğulayır ki, təsdiqlənməmiş mənbələrdən gələn icra edilə bilən (.exe və s.) faylları heç vaxt açmamaq lazımdır. Xüsusilə mod, trainer, booster və ya oyun üçün xüsusi əlavələr vəd edən fayllar yüksək risk daşıyır.

Şübhəli fəaliyyət aşkar edən istifadəçilərin atmalı olduğu addımlar:

Discord-da sessiya tokenlərini ləğv etmək (log out everywhere / invalidate sessions).

Bütün hesablar üçün şifrələri dərhal dəyişmək.

Mümkünsə brauzerdə saxlanmış parolları silmək.

Tətbiqi rəsmi mənbədən yenidən yükləmək.

İki faktorlu identifikasiyanı (2FA) aktivləşdirmək.

Sistemə etibarlı antivirüs/EDR proqramı ilə tam yoxlama həyata keçirmək.

Brauzer uzantılarını nəzərdən keçirmək və naməlum uzantıları silmək.

Şübhəli faylların nüsxəsini izolyasiya edib peşəkar kömək almaq.
 

Niyə aşkarlamaq çətinləşir?
 

RedTiger əsaslı zərərli nümunələr analizdən yayınma və saxta davranış yaratma qabiliyyətlərinə görə aşkar edilməsini çətinləşdirir. Debugger və ya təhlil mühiti aşkarlandıqda işləməyi dayandırmaq, təsadüfi fayl və proseslər yaradaraq davranışı qarışdırmaq kimi texnikalar ənənəvi imza‑əsaslı müdafiələri yanıltmağa qadirdir. Bu üsullar təhlükəsizlik qruplarının yoluxmuş nümunələri sürətlə müəyyən edib izolyasiya etməsini çətinləşdirir.RedTiger nümunəsi açıq mənbəli təhlükəsizlik vasitələrinin pis niyyətli şəxslərin əlinə keçəndə necə təhlükəli silahlara çevrilə biləcəyini bir daha nümayiş etdirir.