Malware RedTiger roba datos, tokens de Discord e imágenes de la cámara web

Iniciado por AXCESS, Octubre 29, 2025, 01:22:03 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 29, 2025, 01:22:03 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo programa malicioso basado en Python, llamado RedTiger, ataca a los jugadores de Discord para robarles tokens de autenticación, contraseñas e información de pago.

Un nuevo malware para robar datos, llamado RedTiger, está siendo utilizado por ciberdelincuentes para atacar a jugadores en la popular plataforma de chat Discord. La empresa de ciberseguridad Netskope informó sobre esta campaña dirigida la semana pasada, señalando que, por ahora, parece estar enfocada en usuarios franceses de Discord.

Según los investigadores, esta herramienta de código abierto basada en Python, diseñada inicialmente para pruebas de seguridad, lamentablemente ha sido adoptada por ciberdelincuentes para crear un programa para robar información.

¿Qué roba RedTiger?

RedTiger está diseñado principalmente para atacar tu cuenta de Discord y las bases de datos de tu navegador, insertando su propio código en la aplicación. El malware es capaz de robar diferentes tipos de datos, comenzando con tus tokens de autenticación (claves digitales para tu cuenta) para obtener detalles como tu nombre de usuario, correo electrónico, configuración de seguridad (MFA) y nivel de suscripción.

Más importante aún, roba información de pago bancaria (como tarjetas de crédito y PayPal) guardada en Discord. Sin embargo, para un acceso a largo plazo, RedTiger modifica el programa Discord para monitorear silenciosamente toda la actividad. Esto significa que, incluso si cambias tu contraseña de Discord, el malware aún puede interceptar y robar tus nuevas credenciales y tokens.

Además de Discord, RedTiger también roba datos guardados del navegador (contraseñas, información de pago), archivos de juegos (por ejemplo, Roblox), información de billeteras de criptomonedas, capturas de pantalla y puede tomar fotos secretamente usando tu cámara web. El análisis de Netspoke sugiere que los atacantes se dirigen principalmente a jugadores, especialmente a usuarios francófonos.

Imagen que muestra parte del código de RedTiger con la lista de aplicaciones objetivo. El script incluye directorios y ejecutables de monederos de criptomonedas como Exodus, Atomic Wallet, Binance y Trust Wallet, además de plataformas de juegos como Steam y Epic Games. Cada entrada especifica las rutas de los archivos y los nombres de los procesos que RedTiger intenta copiar o finalizar para robar los datos almacenados (Imagen vía Netskope)


Evasión y persistencia

Una vez que una máquina se infecta, RedTiger roba datos rápidamente y oculta su actividad. El proceso se desarrolla en dos etapas. Primero, el malware recopila todos los datos robados, los comprime y sube el archivo completo al sitio de intercambio de archivos anónimo GoFile.

A continuación, envía una alerta secreta al atacante mediante un webhook de Discord, un sistema de mensajería automatizado que proporciona el enlace de descarga de los datos robados junto con información clave sobre el ordenador de la víctima, como la dirección IP, el país y el nombre de host.

En su entrada de blog, los investigadores señalaron que la herramienta está diseñada para evadir la detección, ya que se desactiva inmediatamente si detecta herramientas de seguridad como depuradores o entornos forenses. Además, para ocultar sus huellas, RedTiger utiliza una técnica llamada «spam masivo de archivos y procesos», que crea alrededor de 100 archivos aleatorios y ejecuta aproximadamente 400 programas diferentes simultáneamente. Los investigadores de Netskope observaron que esto se hace para "dificultar el análisis forense inundando la línea de tiempo con artefactos sin sentido".

El malware también incluye un mecanismo de persistencia disponible en sistemas Windows, Linux y macOS (Darwin) para sobrevivir a los reinicios. En Windows, funciona a la perfección, añadiendo la carga útil a la carpeta de inicio para ejecutarse automáticamente al iniciar sesión. Si bien el script se copia a sí mismo en las carpetas de inicio automático en Linux y macOS, esta función aún no está completa y no se ejecuta sin los archivos de configuración finales.

Análisis de un experto

El auge de RedTiger revela una tendencia preocupante: la transformación de herramientas legítimas en maliciosas. Mayank Kumar, ingeniero fundador de IA en DeepTempo, compartió su opinión sobre este fenómeno:

«Los ciberdelincuentes pueden auditar, modificar y reutilizar libremente estas mismas herramientas legítimas para operaciones ofensivas... Los atacantes aprovechan las capacidades previstas de la herramienta para la recopilación de datos y las adaptan con técnicas de ingeniería social».

Este tipo de campaña se basa en una combinación de habilidades técnicas y tácticas psicológicas, ocultando el malware en aplicaciones aparentemente inofensivas para obtener acceso. Kumar subraya que este incidente «refuerza la necesidad crítica de la autenticación multifactor (MFA) para mitigar el impacto del robo de credenciales y fomentar el escepticismo de los usuarios hacia el software no deseado».

Para mantenerse a salvo, los expertos recomiendan encarecidamente usar siempre la autenticación multifactor (MFA) en Discord y otras cuentas importantes, y tener mucho cuidado al descargar software, mods o utilidades de fuentes no verificadas.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario