Les chercheurs du Threat Labs de Netskope ont publié leur analyse de RedTiger, un outil de red teaming ciblant les joueurs et dont plusieurs charges utiles sont en cours de circulation, avec une focalisation sur les utilisateurs francophones.
Tribune – Lancé en 2024 et basé sur Python, RedTiger regroupe divers outils de sécurité et de test d’intrusion et cible différents types d’informations sensibles, en particulier sur les comptes Discord. Il injecte du code JavaScript personnalisé dans le client Discord afin d’intercepter les événements. Par ailleurs, il collecte les données stockées dans le navigateur, les fichiers liés aux jeux, les données des portefeuilles de cryptomonnaies et les captures d’écran du système hôte. Il peut également espionner la webcam de la victime et surcharger les périphériques de stockage en générant massivement des processus et en créant des fichiers. Il fournit enfin diverses techniques d’évasion de défense et des mécanismes de persistance.
Les chercheurs ont pu mettre en avant les éléments suivants sur cet infostealer :
- RedTiger infostealer est un nouvel outil open source de red teaming, dont les charges utiles apparaissent désormais dans la nature et dont d’autres variantes sont attendues ;
- Son exfiltration se déroule en deux étapes : les fichiers volés archivés sont d’abord téléchargés vers le stockage cloud GoFile, puis le lien de téléchargement est envoyé à l’attaquant via un webhook Discord ;
- D’après les noms de fichiers et les messages affichés, les cybercriminels ciblent les joueurs, certains échantillons visant les utilisateurs francophones.
A partir de cette analyse, le Threat Labs de Netskope constate qu’en téléchargeant les données volées sur le stockage cloud GoFile et en envoyant des liens de téléchargement via Discord webhook, RedTiger permet aux attaquants d’exfiltrer efficacement des informations sensibles tout en échappant à la détection.
L’analyse complète du Threat Labs de Netskope est disponible, en anglais, sur le site officiel.
