RedTiger Infostealer ภัยขโมยบัญชี Discord

RedTiger Infostealer ภัยขโมยบัญชี Discord

แฮ็กเกอร์ใช้ RedTiger-based Infostealer ขโมยบัญชี Discord และข้อมูลการเงิน – ภัยคุกคามที่องค์กรต้องระวัง

ในปัจจุบันภัยคุกคามไซเบอร์มีความซับซ้อนมากขึ้น โดยล่าสุดพบว่ากลุ่มแฮ็กเกอร์ได้นำ RedTiger ซึ่งเดิมเป็นเครื่องมือ Open Source สำหรับการทดสอบเจาะระบบ (Red Team Tool) มาดัดแปลงเป็นมัลแวร์ประเภท Info-stealer เพื่อขโมยบัญชี Discord, ข้อมูลการชำระเงิน และข้อมูลสำคัญอื่น ๆ ของผู้ใช้

เหตุการณ์ลักษณะนี้สะท้อนให้เห็นว่า องค์กรและผู้ใช้งานทั่วไปจำเป็นต้องให้ความสำคัญกับความปลอดภัยด้าน IT มากขึ้น ไม่ว่าจะเป็นการมีทีม IT Outsource ที่เชี่ยวชาญ หรือการใช้ บริการดูแลระบบคอมพิวเตอร์ เพื่อเฝ้าระวังและรับมือกับภัยคุกคามรูปแบบใหม่อย่างทันท่วงที

RedTiger คืออะไร และทำไมจึงอันตราย

RedTiger เป็นชุดเครื่องมือสำหรับการทดสอบเจาะระบบ (Penetration Testing Suite) ที่เขียนด้วยภาษา Python สามารถทำงานได้ทั้งบน Windows และ Linux โดยมีฟังก์ชันหลากหลาย เช่น

• การสแกนเครือข่าย

• การถอดรหัสรหัสผ่าน

• เครื่องมือ OSINT

• เครื่องมือสำหรับจัดการและโจมตี Discord

• ตัวสร้างมัลแวร์ (Malware Builder)

ภายใน RedTiger มีโมดูล Info-stealer ที่ถูกนำไปใช้ในทางที่ผิด โดยสามารถ:

• ขโมยข้อมูลระบบ (System Information)

• ดึงรหัสผ่าน คุกกี้ และข้อมูลจากเว็บเบราว์เซอร์

• ขโมยไฟล์กระเป๋าเงินคริปโต

• เข้าถึงบัญชี Discord และเกมออนไลน์ เช่น Roblox

• ถ่ายภาพหน้าจอและดึงภาพจากเว็บแคม

แม้ผู้พัฒนาจะระบุว่าใช้ “เพื่อการทดสอบอย่างถูกกฎหมายเท่านั้น” แต่การขาดกลไกควบคุม ทำให้แฮ็กเกอร์สามารถนำไปใช้โจมตีได้อย่างง่ายดาย

รูปแบบการโจมตีด้วย RedTiger-based Infostealer

จากรายงานของ Netskope พบว่าแฮ็กเกอร์ใช้ RedTiger-based Infostealer เพื่อโจมตีผู้ใช้ Discord โดยเฉพาะในประเทศฝรั่งเศส ผ่านขั้นตอนดังนี้

1. คอมไพล์ RedTiger ด้วย PyInstaller ให้เป็นไฟล์ Executable เดี่ยว

2. ตั้งชื่อไฟล์ให้ดูเกี่ยวข้องกับเกมหรือ Discord เพื่อหลอกให้เหยื่อดาวน์โหลด

3. เมื่อเหยื่อติดตั้ง มัลแวร์จะสแกนฐานข้อมูล Discord และเบราว์เซอร์

4. ดึง Discord Token ทั้งแบบ Plain และ Encrypted

5. ฝัง JavaScript ลงในไฟล์ของ Discord เพื่อดักจับข้อมูลการล็อกอินและการชำระเงิน

6. ขโมยข้อมูล PayPal และบัตรเครดิตที่ผูกไว้

นอกจากนี้ยังขโมยรหัสผ่าน คุกกี้ ประวัติการใช้งานเว็บ และค้นหาไฟล์สำคัญในเครื่อง เช่น .txt, .sql, .zip ก่อนบีบอัดและอัปโหลดข้อมูลไปยังบริการฝากไฟล์ พร้อมส่งลิงก์ให้แฮ็กเกอร์ผ่าน Discord Webhook

เทคนิคหลบเลี่ยงการตรวจจับของมัลแวร์

มัลแวร์ RedTiger-based ถูกออกแบบให้หลบเลี่ยงการตรวจจับได้อย่างแนบเนียน เช่น

• มีระบบ Anti-Sandbox

• ตรวจจับ Debugger และหยุดทำงานทันที

• สร้าง Process และไฟล์ปลอมจำนวนมากเพื่อถ่วงเวลาการวิเคราะห์ทางนิติวิทยาศาสตร์

นี่คือเหตุผลที่หลายองค์กรเลือกใช้ บริการดูแลระบบคอมพิวเตอร์ หรือ IT Outsource ที่มีเครื่องมือและประสบการณ์ด้าน Cybersecurity เพื่อช่วยตรวจจับภัยคุกคามเชิงลึกที่ซอฟต์แวร์ทั่วไปอาจมองไม่เห็น

ช่องทางการแพร่กระจายที่พบบ่อย

แม้ยังไม่พบแหล่งแพร่กระจายที่ชัดเจน แต่คาดว่ามัลแวร์เหล่านี้มักถูกเผยแพร่ผ่าน:

• ช่อง Discord

• เว็บไซต์ดาวน์โหลดซอฟต์แวร์เถื่อน

• ฟอรัมออนไลน์

• โฆษณาปลอม (Malvertising)

• วิดีโอ YouTube ที่หลอกให้ดาวน์โหลด mod หรือ trainer

คำแนะนำในการป้องกันสำหรับองค์กรและผู้ใช้งาน

• หลีกเลี่ยงการดาวน์โหลดโปรแกรมหรือไฟล์จากแหล่งที่ไม่น่าเชื่อถือ

• หากสงสัยว่าถูกติดมัลแวร์:

  1. เพิกถอน Discord Sessions ทั้งหมด

  2. เปลี่ยนรหัสผ่านทันที

  3. ติดตั้ง Discord ใหม่จากเว็บไซต์ทางการ

  4. ล้างข้อมูลที่บันทึกไว้ในเบราว์เซอร์

  5. เปิดใช้งาน MFA ทุกบัญชี

สำหรับองค์กร การมี IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ ที่ดูแลความปลอดภัยเชิงรุก จะช่วยลดความเสี่ยงจากมัลแวร์ประเภท Info-stealer และปกป้องข้อมูลสำคัญของธุรกิจได้อย่างมีประสิทธิภาพในระยะยาว

แหล่งที่มา: BleepingComputer