Siber suçlular, açık kaynaklı bir penetrasyon testi aracını yeniden şekillendirip Discord ve tarayıcı hesaplarını ele geçirmeye yönelik yeni bir saldırı dalgası başlattı. Python tabanlı RedTiger adlı araç, güvenlik araştırmacıları için tasarlanmışken kötü niyetli aktörlerin elinde bilgi hırsızlığına yarayan güçlü bir araca dönüştü.
RedTiger nedir, nasıl kötüye kullanılıyor?
RedTiger, başlangıçta ağ taraması, parola kırma, açık kaynak istihbaratı toplama ve zararlı örnekler üretme kapasitesine sahip bir penetrasyon testi aracı olarak geliştirildi. Ancak saldırganlar, aracın kodunu PyInstaller gibi derleyicilerle bağımsız çalıştırılabilir .exe dosyalarına çevirip, bunları oyun eklentisi veya Discord yardımcı aracı gibi aldatıcı isimlerle sahte dağıtımlar halinde yayıyor. Kullanıcılar bu tür dosyaları çalıştırdığında sistemlerine arka kapı işlevi gören kötü amaçlı yazılım yükleniyor.
Hedef: Discord, tarayıcı verileri ve dijital cüzdanlar
RedTiger temelli kötü sürümler devreye girdikten sonra öncelikle Discord istemcisi ve popüler web tarayıcılarına ait veritabanlarını taramaya başlıyor. Düzenli ifadeler (regex) kullanarak Discord jetonlarını çıkarıyor, geçerli olanları doğruluyor ve hesapla bağlantılı e-posta, profil bilgileri, kayıtlı ödeme seçenekleri, iki faktör bilgileri ve abonelik verilerini topluyor. Ayrıca Discord’un index.js dosyasına enjekte edilen kodla oturum açma, parola değiştirme ve satın alma işlemleri anlık olarak izlenebiliyor. Böylece saldırganlar kredi kartı ve PayPal verilerine de erişebiliyor.
Tarayıcı tarafında ise kaydedilmiş parolalar, çerezler, geçmiş, kayıtlı kredi kartı bilgileri ve uzantılar hedef alınıyor. Yazılım masaüstünden ekran görüntüleri alabiliyor ve sistemdeki .TXT, .SQL, .ZIP gibi dosyalar üzerinde arama yapabiliyor.
Veriler nasıl dışarı çıkıyor?
Toplanan bilgiler bir arşiv hâline getirilip üçüncü taraf dosya paylaşım platformlarına yükleniyor. Saldırganlar, bu dosyaların indirme bağlantılarını Discord webhook’ları aracılığıyla alıp yönetiyor. Zararlı sürümlerin bir kısmı, analiz araçlarını veya sanal ortamları tespit ettiğinde çalışmayı durdurarak güvenlik araştırmacılarının incelemesini zorlaştırıyor. Hatta bazı örnekler, sistemde binlerce sahte işlem başlatarak ve rastgele dosyalar oluşturarak davranış analizi süreçlerini yanıltmaya çalışıyor.
Güvenlik analizleri, bu saldırı dalgasının özellikle Fransız Discord kullanıcılarını hedef aldığına işaret ediyor. Ancak kullanılan dağıtım yöntemleri ve işletim mantığı, aynı tekniğin farklı coğrafyalarda hızla yayılabileceğini gösteriyor. Saldırılar genellikle oyun toplulukları, hile/mod paylaşımı yapılan gruplar ve üçüncü taraf eklenti arayan kullanıcılar üzerinden başlıyor.
Hangi önlemler alınmalı?
Güvenlik uzmanları, doğrulanmamış kaynaklardan gelen çalıştırılabilir dosyaların asla açılmaması gerektiğini vurguluyor. Özellikle mod, trainer, booster gibi oyun odaklı eklenti vaatleri taşıyan dosyalar yüksek risk barındırıyor.
Şüpheli bir etkinlik fark eden kullanıcıların izlemesi gereken adımlar şöyle:
Discord üzerinde oturum açma jetonlarını geçersiz kılmak, tüm hesaplarda şifreleri değiştirmek ve mümkünse tarayıcıda kayıtlı parolaları temizlemek ilk yapılması gerekenler arasında. Uygulamayı resmi kaynaktan yeniden yüklemek, iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmek ve sistemde güvenilir bir antivirüs/EDR yazılımı ile tam tarama yapmak şart. Ayrıca tarayıcı uzantılarını gözden geçirmek ve bilinmeyen eklentileri kaldırmak, şüpheli dosyaların yedeğini izole edip profesyonel yardım almak atılabilecek diğer adımlar.
Neden tespit etmek zorlaşıyor?
RedTiger tabanlı kötü örnekler, analizden kaçınma ve sahte davranış üretme yetenekleri sayesinde tespit edilemeyi zorlaştırıyor. Debugger veya analiz ortamı tespit edildiğinde çalışmayı durdurmaları, rastgele dosya ve işlem üreterek davranışı karma karışık hâle getirmeleri, geleneksel imza-tabanlı savunmaları yanıltabiliyor. Bu teknikler, güvenlik ekiplerinin bulaşan örnekleri hızlıca tanımlamasını ve izole etmesini güçleştiriyor.
RedTiger örneği, açık kaynaklı güvenlik araçlarının kötü niyetli kişilerin elinde nasıl tehlikeli silahlara dönüşebileceğini gösteriyor.
