A red tiger putting his paw on a stream of data

Table des matières

RedTiger est une boîte à outils open source conçue pour des utilisations éthiques telles que les tests de sécurité d’entreprise, mais les attaquants ont utilisé son infostealer pour cibler les joueurs et récolter les informations d’identification des jeux et des comptes financiers. Poursuivez votre lecture pour découvrir comment RedTiger a évolué vers un malware sophistiqué et comment vous protéger.

Comment RedTiger est utilisé pour voler des données

Le code de RedTiger étant public, les pirates l’ont modifié et compilé à l’aide de PyInstaller en binaires Windows autonomes (.exe) à exécuter sur les machines des victimes. Ces binaires sont ensuite renommés pour attirer les joueurs, comme les noms des mods de jeu, des boosters ou des utilitaires Discord.

Une fois qu’il infecte un appareil, il tente d’exécuter les tâches suivantes :

  • Recherchez des jetons Discord et des fichiers associés, validez les jetons, puis injectez du JavaScript personnalisé dans le client Discord pour intercepter les appels d’API. Cela lui permet d’intercepter le nom d’utilisateur et le mot de passe Discord, le statut MFA et les informations de facturation/paiement stockées.
  • Volez les données du navigateur, y compris les mots de passe enregistrés, les cookies, l’historique, les détails de paiement et les extensions de navigateur installées.
  • Copiez les fichiers du portefeuille crypto et les répertoires liés au jeu (comme les cookies/API Roblox).
  • Prenez des captures d’écran du bureau et espionnez via la webcam.

Toutes ces informations sont ensuite téléchargées sur le service de stockage cloud gratuit GoFile, et leur lien est envoyé aux pirates via le webhook Discord. Pour aggraver les choses, ces voleurs d’informations basés sur RedTiger utilisent des méthodes sophistiquées pour éviter la détection et assurer la persistance, comme des contrôles anti-sandbox ou des processus de spam pour perturber l’analyse.

Protégez-vous des voleurs d’informations basés sur RedTiger

Pour vous protéger contre cette menace, vous avez besoin de solutions actives et proactives pour empêcher les logiciels malveillants d’atteindre votre appareil ou pour minimiser leur impact en cas d’infection. Voici quelques mesures que vous pouvez prendre pour rester en sécurité :

Faites attention aux liens EXE dans Discord ou autres sources non officielles

La diffusion de ces infostealers dépend fortement de sources non officielles et de communications directes. Ils sont généralement distribués sur les chaînes Discord, les commentaires du forum, les commentaires YouTube et les conversations directes. Si vous voyez une recommandation pour télécharger un booster de jeu, un hack ou tout autre utilitaire spécial, ne le téléchargez pas à moins que son origine puisse être vérifiée.

Les vrais outils liés au jeu ont des sites Web officiels et une réputation positive dans la communauté. Il faut surtout éviter un outil directement téléchargé si votre antivirus le bloque.

Activer la connexion par mot de passe pour Discord

Bien que cette attaque puisse voler votre nom d’utilisateur et votre mot de passe, elle ne fonctionnera pas si votre mot de passe est activé pour les connexions. La clé d’accès nécessitera le code PIN de votre appareil Windows ou la clé de sécurité matérielle (si vous en utilisez une) pour l’authentification, rendant votre nom d’utilisateur et votre mot de passe Discord inutiles même en cas de vol.

Dans Discord, accédez à Paramètres utilisateurMon compte et cliquez sur Enregistrez une clé de sécurité sous Clés de sécurité pour en créer un.

N’enregistrez pas les mots de passe et les informations de paiement dans le navigateur

Bien que la plupart des navigateurs vous demandent de manière agressive de stocker les mots de passe dans leur gestionnaire de mots de passe, ils ne sont pas aussi sûrs qu’un gestionnaire de mots de passe dédié. Un gestionnaire de mots de passe de navigateur enregistre et protège les clés de cryptage localement, ce qui est facile à déchiffrer pour un voleur d’informations. D’autre part, un gestionnaire de mots de passe dédié crypte vos mots de passe et toutes les informations que vous y enregistrez à l’aide d’un mot de passe principal que vous seul connaissez.

Pour une meilleure protection, vous devez utiliser un gestionnaire de mots de passe fiable ; même les plus gratuits fonctionneront bien, comme KeePass ou d’autres gestionnaires de mots de passe gratuits.

Gérer l’accès administrateur

De nombreuses tâches que les infostealers basés sur RedTiger doivent effectuer nécessitent un accès administrateur. Vous devez être extrêmement prudent lorsque vous fournissez cela à des applications inconnues, surtout si elles apparaissent de nulle part. Une meilleure solution consiste à utiliser un compte standard comme compte principal, ou même à utiliser un compte utilisateur distinct pour les jeux.

Bloquer l’accès du PC à GoFile

Dans les échantillons observés, les acteurs malveillants ont programmé le voleur d’informations pour envoyer des données au stockage cloud GoFile afin d’échapper à la détection. Si vous n’utilisez pas le stockage cloud GoFile pour quoi que ce soit, vous pouvez le bloquer dans votre fichier d’hôtes Windows pour en empêcher l’accès. Cela empêchera le logiciel malveillant de voler des informations même s’il les collecte.

Voici les instructions pour ouvrir le fichier hosts sous Windows. Ouvrez-le simplement et copiez/collez les lignes suivantes au bas du fichier hosts pour bloquer l’accès au site Web GoFile sur votre PC.

0.0.0.0 gofile.io
0.0.0.0 www.gofile.io
0.0.0.0 gofile.me
0.0.0.0 api.gofile.io
Modification du fichier d'hôtes Windows

Que faire si votre PC est infecté

Si vous pensez avoir accidentellement installé un tel infostealer sur votre PC, vous devrez immédiatement agir pour protéger vos comptes et vos données. Voici les étapes à suivre :

  • Déconnectez le PC d’Internet ou éteignez le PC si possible.
  • Utilisez un autre appareil propre pour réinitialiser le mot de passe de Discord et de tous les comptes que vous aviez utilisés/enregistrés sur le PC. Il est préférable d’activer l’authentification multifacteur dans la mesure du possible, afin que votre ancien mot de passe ne soit pas exploité.
  • Déconnectez-vous de tous les appareils via les pages de sécurité du service, comme Discord ou le compte Google. Cela empêchera l’abus de sessions et de jetons volés.

Ensuite, suivez nos guides pour supprimer les logiciels malveillants de votre PC. Vous pouvez soit supprimer les logiciels malveillants à l’aide d’un antivirus, soit les supprimer manuellement sans antivirus. Ce malware spécifique ne persiste pas non plus lors des réinitialisations, la réinitialisation du PC est donc également une option.

Bien que les joueurs soient la cible principale de ce voleur d’informations, il constitue une menace pour tous les utilisateurs car il vole les données du navigateur, les portefeuilles cryptographiques et prend des captures d’écran. Vous devez également activer ces fonctionnalités de sécurité Windows et les fonctionnalités avancées de Microsoft Defender pour une meilleure protection contre ces menaces.

Partager :
Facebook
Twitter
LinkedIn

Gentil Geek

Passionné d'informatique depuis ma plus tendre enfance aujourd'hui j'en ai fait mon métier. A vos côtés pour simplifier votre utilisation de l'informatique et vous permettre de gagner en compétences.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *