Kradzież kont Discord z użyciem infostealera opartego na RedTiger — jak działa atak i jak się bronić

Wprowadzenie do problemu / definicja luki

Atakujący zaczęli nadużywać otwartoźródłowego narzędzia RedTiger do budowy infostealera kradnącego konta Discord oraz dane płatnicze powiązane z aplikacją. Złośliwe ładunki, kompilowane najczęściej w PyInstaller, zbierają również hasła i cookies z przeglądarek, informacje o portfelach kryptowalut oraz kontach gamingowych. Najnowsza fala celuje przede wszystkim w użytkowników we Francji, ale mechanizm ataku jest uniwersalny i łatwo przenaszalny na inne rynki.

W skrócie

• Wejście: pliki wykonywalne podszywające się pod narzędzia do gier/Discord („mods”, „boosters”, „cheaty”). Kompilacja kodu RedTiger w PyInstaller.
• Kradzież: tokeny Discord (w tym status MFA/Nitro), e-maile, dane płatnicze (karty, PayPal), hasła/karty zapisane w przeglądarkach, cookies, portfele krypto, konta gier.
• Triki: iniekcja JS do pliku index.js Discorda w celu przechwytywania logowań, zmian hasła i transakcji; anty-analiza; masowe uruchamianie procesów i tworzenie plików dla utrudnienia analizy.
• Eksfiltracja: archiwum z danymi wysyłane do GoFile, link przekazywany przestępcy przez Discord webhook.
• Zasięg: początkowo Francja (użytkownicy Discord), ale brak barier językowych/techniczych do globalizacji kampanii.

Kontekst / historia / powiązania

RedTiger to pythonowe „multi-tool” do pentestów, OSINT i… budowania malware’u (m.in. stealer, Discord injection, a w wersji „premium” nawet ransomware builder). Choć repozytorium podkreśla „tylko do legalnych celów”, brak mechanizmów kontroli dystrybucji sprawia, że projekt jest łatwy do nadużycia przez aktorów zagrożeń. Zainteresowanie i dostępność potwierdzają setki forków i wydania utrzymywane w 2025 r.

Analiza techniczna / szczegóły luki

1. Łańcuch infekcji
   Kampanie dystrybucji nie są jednolite; badacze wskazują na typowe wektory dla sceny gamingowej: serwery/DM na Discord, witryny z „modami”, fałszywe poradniki/filmiki, malvertising. Binarne „dropy” mają nazwy sugerujące powiązanie z grami/Discordem.
2. Kradzież i walidacja tokenów Discord
   Stealer skanuje system pod kątem plików baz danych Discorda i przeglądarek, wydobywa tokeny (także szyfrowane) m.in. przez regexy, waliduje je i pobiera profil, e-mail, status MFA/Nitro oraz informacje o subskrypcji/płatnościach.
3. Iniekcja do klienta Discord
   Złośliwy kod modyfikuje index.js klienta, aby hakować wywołania API i przechwytywać zdarzenia (logowanie, zakup, zmiana hasła, dodanie karty/PayPal). To umożliwia kradzież na żywo, nawet po rotacji części artefaktów.
4. Zasięg kradzieży
   Poza Discordem RedTiger wykrada: hasła/cookies/historię/karty z przeglądarek, sesje portfeli krypto, pliki gier (Steam, Riot, Epic), pliki „interesujące” (.TXT, .SQL, .ZIP), a nawet zrzuty ekranu i ujęcia z kamery.
5. Eksfiltracja i C2
   Zebrane artefakty są pakowane i uploadowane do GoFile; link jest zwracany atakującemu przez Discord webhook wraz z metadanymi ofiary.
6. Anty-forensics / anty-analiza
   Wykryto m.in. kontrolę środowisk sandbox/debug oraz taktykę spamowania setkami procesów i plików, by utrudnić analizę i zaszumieć telemetrykę.

Praktyczne konsekwencje / ryzyko

• Przejęcie kont Discord (utrata społeczności/serwera, oszustwa „na administratora”, wtórna dystrybucja malware’u).
• Ryzyko finansowe: wyciek danych kart/PayPal zapisanych w Discordzie lub przeglądarce; zakupy Nitro/boosty na koszt ofiary.
• Kompromitacja przeglądarki: przejęte cookies = sesje do SaaS/Gmail/GitHub; możliwość lateral movement.
• Ekspozycja kluczy/seedów: enumeracja rozszerzeń/plików portfeli krypto.
• Ryzyko reputacyjne i prawne (RODO) w razie wycieku danych z urządzeń firmowych.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkownika/Helpdesku (IR – pierwsze 24–48 h):

1. Natychmiast zmień hasło do Discorda; to unieważnia tokeny. Następnie wyloguj wszystkie sesje i przeinstaluj klienta Discord (czysta instalacja z oficjalnej strony).
2. Włącz/egzekwuj MFA na Discordzie oraz wszędzie, gdzie to możliwe.
3. Na zainfekowanym hostcie: uruchom pełne skanowanie AV/EDR, usuń pliki z folderów Discorda, wyczyść LSA/DPAPI cache (jeśli dotyczy), zresetuj hasła do kont zapisanych w przeglądarce, usuń cookies i autouzupełnianie kart.
4. Sprawdź transakcje karty/PayPal, rozważ zamrożenie karty.

Dla SecOps/IT:

• App Control: blokuj wykonywalne PyInstaller i niepodpisane EXE z katalogów użytkownika; egzekwuj allow-listę aplikacji.
• EDR: reguły na modyfikacje Discord\*\resources\app\*.js oraz nietypowe „child processes” klienta Discord.
• Network egress: monitoruj/blokuj wycieki do GoFile i nietypowe wywołania Discord webhooks z hostów końcowych.
• Browser hardening: zabroń przechowywania kart płatniczych; egzekwuj dojrzalszy menedżer haseł i polityki „no cookies reuse” dla systemów wrażliwych.
• Uświadamianie użytkowników: kampanie przeciwko „modom/cheatom/boosterom” z nieznanych źródeł.
• Hunting: IOC-y z bieżących raportów vendorów (np. Netskope Threat Labs), korelacja z logami proxy/EDR.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do klasycznych infostealerów (np. Vidar, RedLine, Lumma), wariant bazujący na RedTiger wyróżnia:

• nastawienie na Discord (tokeny + iniekcja JS do klienta, przechwytywanie zdarzeń zakupowych i zmian bezpieczeństwa),
• „builder” dostępny w repozytorium OSS, co obniża próg wejścia dla aktorów o niskich kompetencjach,
• techniki anty-forensics (spam procesów/plików) nastawione na utrudnienie analizy po incydencie.

Podsumowanie / kluczowe wnioski

• Otwartoźródłowe narzędzia red-teamowe, takie jak RedTiger, są coraz częściej weaponizowane w kampaniach masowych.
• Discord pozostaje atrakcyjnym celem: token-stealing + JS-injection zapewniają atakującym długotrwały dostęp i możliwość monetyzacji.
• Obrona wymaga połączenia higieny użytkownika (MFA, brak „cheatów”) z kontrolą aplikacji, telemetrią EDR i huntingiem pod konkretne artefakty (modyfikacje index.js, uploady do GoFile, webhooks).

Źródła / bibliografia

1. BleepingComputer — „Hackers steal Discord accounts with RedTiger-based infostealer”, 26 października 2025. (BleepingComputer)
2. Netskope Threat Labs — „RedTiger in the Wild: Targeting Gamers & Discord Accounts” (analiza kampanii, TTP, zasięg geograficzny). (Netskope)
3. GitHub — RedTiger-Tools (funkcje: stealer, Discord injection, malware builder; aktywność repo 2025). (GitHub)