Siber hatalılar, açık kaynaklı bir penetrasyon testi aracını tekrar şekillendirip Discord ve tarayıcı hesaplarını ele geçirmeye yönelik yeni bir akın dalgası başlattı. Python tabanlı RedTiger isimli araç, güvenlik araştırmacıları için tasarlanmışken makus niyetli aktörlerin elinde bilgi hırsızlığına yarayan güçlü bir araca dönüştü.

RedTiger nedir, nasıl berbata kullanılıyor?

RedTiger, başlangıçta ağ taraması, parola kırma, açık kaynak istihbaratı toplama ve ziyanlı örnekler üretme kapasitesine sahip bir penetrasyon testi aracı olarak geliştirildi. Lakin saldırganlar, aracın kodunu PyInstaller üzere derleyicilerle bağımsız çalıştırılabilir .exe evraklarına çevirip, bunları oyun eklentisi yahut Discord yardımcı aracı gibi aldatıcı isimlerle düzmece dağıtımlar halinde yayıyor. Kullanıcılar bu çeşit belgeleri çalıştırdığında sistemlerine art kapı fonksiyonu gören makus emelli yazılım yükleniyor.

Hedef: Discord, tarayıcı dataları ve dijital cüzdanlar

RedTiger temelli makus sürümler devreye girdikten sonra öncelikle Discord istemcisi ve tanınan web tarayıcılarına ilişkin veritabanlarını taramaya başlıyor. Sistemli sözler (regex) kullanarak Discord jetonlarını çıkarıyor, geçerli olanları doğruluyor ve hesapla kontaklı e-posta, profil bilgileri, kayıtlı ödeme seçenekleri, iki faktör bilgileri ve abonelik datalarını topluyor. Ayrıyeten Discord’un index.js evrakına enjekte edilen kodla oturum açma, parola değiştirme ve satın alma süreçleri anlık olarak izlenebiliyor. Böylece saldırganlar kredi kartı ve PayPal bilgilerine de erişebiliyor.

Tarayıcı tarafında ise kaydedilmiş parolalar, çerezler, geçmiş, kayıtlı kredi kartı bilgileri ve uzantılar gaye alınıyor. Yazılım masaüstünden ekran manzaraları alabiliyor ve sistemdeki .TXT, .SQL, .ZIP üzere evraklar üzerinde arama yapabiliyor.

Veriler nasıl dışarı çıkıyor?

Toplanan bilgiler bir arşiv hâline getirilip üçüncü taraf evrak paylaşım platformlarına yükleniyor. Saldırganlar, bu evrakların indirme kontaklarını Discord webhook’ları aracılığıyla alıp yönetiyor. Ziyanlı sürümlerin bir kısmı, tahlil araçlarını yahut sanal ortamları tespit ettiğinde çalışmayı durdurarak güvenlik araştırmacılarının incelemesini zorlaştırıyor. Hatta birtakım örnekler, sistemde binlerce uydurma süreç başlatarak ve rastgele belgeler oluşturarak davranış tahlili süreçlerini yanıltmaya çalışıyor.

Güvenlik tahlilleri, bu atak dalgasının bilhassa Fransız Discord kullanıcılarını amaç aldığına işaret ediyor. Lakin kullanılan dağıtım sistemleri ve işletim mantığı, tıpkı tekniğin farklı coğrafyalarda süratle yayılabileceğini gösteriyor. Hücumlar çoklukla oyun toplulukları, hile/mod paylaşımı yapılan kümeler ve üçüncü taraf eklenti arayan kullanıcılar üzerinden başlıyor.

Hangi tedbirler alınmalı?

Güvenlik uzmanları, doğrulanmamış kaynaklardan gelen çalıştırılabilir evrakların asla açılmaması gerektiğini vurguluyor. Bilhassa mod, trainer, booster üzere oyun odaklı eklenti vaatleri taşıyan evraklar yüksek risk barındırıyor.

Şüpheli bir aktiflik fark eden kullanıcıların izlemesi gereken adımlar şöyle:

Discord üzerinde oturum açma jetonlarını geçersiz kılmak, tüm hesaplarda şifreleri değiştirmek ve mümkünse tarayıcıda kayıtlı parolaları temizlemek birinci yapılması gerekenler ortasında. Uygulamayı resmi kaynaktan yine yüklemek, iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmek ve sistemde sağlam bir antivirüs/EDR yazılımı ile tam tarama yapmak kural. Ayrıyeten tarayıcı uzantılarını gözden geçirmek ve bilinmeyen eklentileri kaldırmak, kuşkulu belgelerin yedeğini izole edip profesyonel yardım almak atılabilecek öteki adımlar.

Neden tespit etmek zorlaşıyor?

RedTiger tabanlı makûs örnekler, tahlilden kaçınma ve uydurma davranış üretme yetenekleri sayesinde tespit edilemeyi zorlaştırıyor. Debugger yahut tahlil ortamı tespit edildiğinde çalışmayı durdurmaları, rastgele belge ve süreç üreterek davranışı karma karışık hâle getirmeleri, klâsik imza-tabanlı savunmaları yanıltabiliyor. Bu teknikler, güvenlik gruplarının bulaşan örnekleri süratlice tanımlamasını ve izole etmesini güçleştiriyor.

RedTiger örneği, açık kaynaklı güvenlik araçlarının makûs niyetli bireylerin elinde nasıl tehlikeli silahlara dönüşebileceğini gösteriyor.