Kısa süre içinde güvenlik araştırmacıları tarafından fark edilen RedTiger kötü sürümleri, başlangıçta penetrasyon testi amaçlı geliştirilen bir aracın kötü niyetli kullanıma dönüşmesinin örneğini sunuyor.
Siber suçlular, aracı bağımsız çalıştırılabilir dosyalara dönüştürüp oyun eklentisi veya yardımcı araç gibi sahte vaatlerle yayıyor. Çalıştırılan kötü örnekler Discord istemcisi ve yaygın tarayıcıların veritabanlarını tarayarak oturum jetonları, kayıtlı parolalar, ödeme bilgileri ve diğer hassas verileri topluyor.
Kullanıcılar, doğrulanmamış kaynaklardan dosya indirmemeli ve şüpheli etkinlik gördüklerinde derhal önlem almalıdır.
REDTIGER NEDİR VE NASIL SALDIRI YAPIYOR?
RedTiger, orijinalde ağ taraması, parola kırma ve açık kaynak istihbaratı toplamak için geliştirilen Python tabanlı bir penetrasyon testi aracıdır.
Ancak kötü niyetli aktörler, aracın kaynak kodunu PyInstaller benzeri derleyicilerle .exe hâline getirip sahte isimlerle dağıtıyor. Kullanıcı bu tür dosyayı çalıştırdığında sistemine arka kapı işlevi gören kötü amaçlı yazılım yükleniyor.
Ardından yazılım, Discord istemcisi ve popüler tarayıcıların veritabanlarını tarıyor, düzenli ifadelerle (regex) jeton ve kimlik bilgilerini çekiyor; geçerli olanları doğrulayıp hesapla ilişkili e-posta, profil ve ödeme bilgilerini topluyor.
Tarayıcı tarafında kayıtlı parolalar, çerezler ve kredi kartı verileri hedef alınıyor. Bu süreç, RedTiger’ın orijinal kullanım amacından sapıp doğrudan bilgi hırsızlığına evrilmesine örnek teşkil ediyor.
HEDEFLENEN VERİLER VE SALDIRGANLARIN YÖNTEMLERİ
RedTiger temelli kötü sürümler, öncelikle Discord oturum jetonları ve tarayıcıda saklanan hassas veriler üzerinde yoğunlaşıyor.
Elde edilen jetonlar kullanılarak hesaplara erişiliyor, hesapla bağlantılı e-posta ve profil bilgileri çekiliyor; bazı örneklerde Discord’un index.js dosyasına müdahale edilerek oturum açma ve parola değişikliği işlemleri anlık olarak izlenebiliyor.
Böylece saldırganlar abonelikler, kredi kartı ve PayPal bilgilerine ulaşabiliyor. Yazılım ayrıca masaüstünden ekran görüntüleri alıyor ve .TXT, .SQL, .ZIP gibi dosya türlerini arayıp topluyor. Toplanan veriler bir arşiv hâline getirilip üçüncü taraf paylaşım servislerine yükleniyor ve indirme bağlantıları Discord webhook’larıyla saldırganlara iletiliyor.
Analizden kaçınma mekanizmaları ve sahte davranış üretme teknikleri, güvenlik ekiplerinin tespitini zorlaştırıyor.
KORUNMA ADIMLARI VE KULLANICILAR İÇİN ÖNERİLER
Güvenlik uzmanları, doğrulanmamış kaynaklardan gelen çalıştırılabilir dosyaların asla açılmaması gerektiğini özellikle vurguluyor.
Kullanıcıların alması gereken ilk önlemler arasında Discord oturum jetonlarını geçersiz kılmak, tüm hesaplarda şifreleri yenilemek ve tarayıcıda kayıtlı parolaları temizlemek yer alıyor.
Resmi kaynaklardan uygulama yeniden kurulmalı, iki faktörlü kimlik doğrulama etkinleştirilmeli ve sistemde güvenilir bir antivirüs/EDR yazılımıyla tam tarama yapılmalı.
Tarayıcı uzantıları gözden geçirilmeli ve bilinmeyen eklentiler kaldırılmalı; şüpheli dosyaların yedeği izole edilerek gerekirse profesyonel yardım alınmalı.
Özellikle oyun modları, trainer veya üçüncü taraf eklenti vaatleri sunan dağıtımlar yüksek risk taşıyor; bu tür içerikler güvenli kaynaklardan doğrulanmadan kullanılmamalı.
RedTiger örneği, açık kaynaklı güvenlik araçlarının kötü amaçla kullanılmasının getirdiği riske dikkat çekiyor ve kullanıcı bilincinin önemini bir kez daha ortaya koyuyor.
