Een nieuw type malware met de naam RedTiger duikt de laatste maanden steeds vaker op. Waar de tool oorspronkelijk bedoeld was voor beveiligingstesten en red teaming, wordt hij nu actief misbruikt door cybercriminelen om gamers en Discord-gebruikers aan te vallen.
De open-source tool, ontwikkeld in Python en uitgebracht in 2024, bevat modules voor netwerkonderzoek, phishing, OSINT en gegevensverzameling. Het is vooral de ingebouwde infostealer die inmiddels door kwaadwillenden wordt ingezet om persoonlijke en financiële informatie te stelen.
Volgens een analyse van Netskope Threat Labs is RedTiger vooral gericht op het stelen van Discord-accounts. De malware injecteert aangepaste JavaScript-code in de Discord-client om accountinformatie, betalingsgegevens en tokens te onderscheppen. Zelfs als een slachtoffer zijn wachtwoord of e-mailadres wijzigt, kan de malware via deze methode nieuwe inloggegevens blijven verzamelen.
Daarnaast verzamelt RedTiger browserdata zoals opgeslagen wachtwoorden, cookies, creditcardinformatie en surfgeschiedenis. Ook crypto wallets en gameaccounts, waaronder Roblox, worden actief doorzocht op bruikbare gegevens. De malware gebruikt daarbij bestaande Python-bibliotheken om browsercookies uit te lezen en API-verzoeken te doen waarmee gebruikersinformatie wordt opgehaald.
Meerdere mechanismen om detectie te vermijden
De exfiltratie van gestolen data verloopt in twee fasen. Eerst worden alle verzamelde bestanden gecomprimeerd en geüpload naar GoFile, een gratis cloudopslagdienst die geen account vereist. Vervolgens stuurt RedTiger via een Discord-webhook de downloadlink en systeeminformatie van het slachtoffer naar de aanvaller. Hierdoor blijft de operatie grotendeels anoniem en moeilijk te traceren. De malware beschikt bovendien over diverse mechanismen om detectie te vermijden, zoals het beëindigen van processen op virtuele machines of testomgevingen en het blokkeren van verbindingen met beveiligingswebsites via aanpassingen in het hosts-bestand. Om forensisch onderzoek te bemoeilijken start RedTiger tegelijkertijd ongeveer vierhonderd processen en creëert het honderd willekeurige bestanden, wat systemen vertraagt en logbestanden vervuilt.
Hoe de malware wordt verspreid, is volgens Netskope niet volledig duidelijk, maar andere bronnen noemen verschillende methoden. De besmette RedTiger-bestanden circuleren vermoedelijk via Discord-kanalen, malafide downloadsites, forumposts, misleidende advertenties en YouTube-video’s die zich voordoen als gamehacks of prestatieboosters. Daarmee sluit RedTiger aan bij een bredere trend waarbij aanvallers gamingcommunities gebruiken als toegangspoort tot persoonlijke data en betaalinformatie.
De opkomst van RedTiger onderstreept hoe snel legitieme beveiligingstools kunnen veranderen in krachtige wapens voor cybercriminelen, zeker wanneer ze open source beschikbaar zijn. Voor gebruikers betekent dit dat voorzichtigheid bij het downloaden van onbekende software belangrijker is dan ooit.