RedTiger มัลแวร์ที่แฝงมากับเครื่องมือทดสอบระบบ
กลุ่มผู้เชี่ยวชาญด้านความปลอดภัยจาก Netskope Threat Labs รายงานว่า มีผู้โจมตีเริ่มนำเครื่องมือโอเพนซอร์สชื่อ RedTiger มาดัดแปลงเป็นมัลแวร์ประเภท Infostealer เพื่อขโมยข้อมูลจากผู้ใช้ Discord, บัญชีเกม และกระเป๋าคริปโต
RedTiger เดิมทีเป็นเครื่องมือสำหรับนักทดสอบเจาะระบบ (Red Team / Penetration Testing) ที่เปิดให้ใช้งานฟรีบน GitHub ซึ่งภายในรวมฟีเจอร์สำหรับสแกนเครือข่าย, วิเคราะห์ช่องโหว่, เครื่องมือ OSINT, ระบบ crack รหัสผ่าน และแม้กระทั่ง Discord toolkits สำหรับตรวจสอบโครงสร้าง API
แต่ด้วยความที่ตัวโค้ดเปิดให้ทุกคนเข้าถึงได้โดยไม่มีระบบควบคุม ผู้ไม่หวังดีจึงนำไปสร้างมัลแวร์เวอร์ชันของตัวเอง และใช้โจมตีเหยื่อในวงกว้าง
วิธีการทำงานของ RedTiger เวอร์ชันอันตราย
1. สร้างไฟล์ปลอมให้เหมือนโปรแกรมเกม
แฮกเกอร์ใช้ PyInstaller แปลงสคริปต์ Python ของ RedTiger เป็นไฟล์ .exe สำหรับ Windows และ .bin สำหรับ Linux โดยตั้งชื่อให้ดูเหมือน “โปรแกรมเสริมเกม”, “ม็อด”, “ตัวบูสต์ FPS” หรือ “Discord Tool” เพื่อหลอกให้ผู้ใช้ดาวน์โหลด
เมื่อเหยื่อรันไฟล์ดังกล่าว มัลแวร์จะเริ่มทำงานเบื้องหลังทันที
2. สแกนหา Token และข้อมูลบัญชี Discord
RedTiger จะค้นหาโฟลเดอร์และฐานข้อมูลภายในเครื่อง เช่น
%AppData%\Discord%AppData%\discordcanary%AppData%\discordptb
จากนั้นใช้ regex สกัด Token ของผู้ใช้ ทั้งในรูปแบบเข้ารหัสและไม่เข้ารหัส ก่อนจะนำไปตรวจสอบความถูกต้องผ่าน API ของ Discord หาก Token ใช้งานได้ มัลแวร์จะดึงข้อมูลเพิ่มเติม เช่น
- อีเมลและชื่อโปรไฟล์
- สถานะ MFA (การยืนยันสองขั้นตอน)
- รายละเอียดการสมัคร Nitro
- ข้อมูลบัตรเครดิตหรือบัญชี PayPal ที่เคยใช้ซื้อบริการ
นอกจากนี้ยังฝัง สคริปต์ JavaScript ลงในไฟล์ index.js ของ Discord เพื่อดักจับเหตุการณ์ต่าง ๆ เช่น การล็อกอิน การเปลี่ยนรหัสผ่าน หรือการชำระเงิน
3. ขโมยข้อมูลจากเบราว์เซอร์และแอปอื่น ๆ
RedTiger ยังขยายการขโมยไปถึงเว็บเบราว์เซอร์ยอดนิยม เช่น Chrome, Edge, Brave และ Opera โดยดึงข้อมูลต่อไปนี้จากไฟล์ SQLite ภายในโปรไฟล์เบราว์เซอร์:
- รหัสผ่านที่บันทึกไว้
- คุกกี้ (Cookies) และ session
- ข้อมูลบัตรเครดิต
- ประวัติการเข้าเว็บไซต์
- รายชื่อส่วนขยาย (Extension)
นอกจากนี้ มัลแวร์ยังสแกนหาไฟล์ .txt, .sql, และ .zip ในเครื่อง ซึ่งมักใช้เก็บรหัสผ่านหรือบันทึกส่วนตัวของผู้ใช้ รวมถึงข้อมูลจากกระเป๋าเงินดิจิทัล (เช่น MetaMask, Binance Wallet) และไฟล์เกมอย่าง Roblox หรือ Minecraft
4. ถ่ายภาพหน้าจอ-เว็บแคม และอัปโหลดข้อมูลขึ้นคลาวด์
หลังจากเก็บข้อมูลทั้งหมด มัลแวร์จะ
- ถ่าย Screenshot หน้าจอ
- เปิดเว็บแคม (ถ้ามีสิทธิ์เข้าถึง) เพื่อถ่ายภาพผู้ใช้
- บีบอัดไฟล์เป็น ZIP
- อัปโหลดไปยัง GoFile.io ซึ่งเป็นบริการฝากไฟล์แบบไม่ต้องล็อกอิน
จากนั้นมันจะส่งลิงก์ดาวน์โหลดข้อมูลทั้งหมดกลับไปให้ผู้โจมตีผ่าน Discord webhook
5. ระบบหลบเลี่ยงการตรวจจับ
RedTiger มีระบบ “ต่อต้านการวิเคราะห์” (Anti-Sandbox) ในตัว เช่น
- ปิดการทำงานอัตโนมัติหากพบโปรแกรมดีบักหรือ VM
- สร้างไฟล์ปลอมกว่า 100 ไฟล์และ process กว่า 400 ตัว เพื่อทำให้การตรวจสอบด้วย forensic tool ช้าลงและวิเคราะห์ยาก
ช่องทางแพร่กระจาย
ถึงแม้ Netskope จะยังไม่ยืนยันช่องทางแน่ชัด แต่รูปแบบการแพร่หลัก ๆ ที่พบคือ
- ลิงก์ดาวน์โหลดผ่าน Discord Server
- เว็บแจกโปรแกรม/เกมเถื่อน
- ฟอรัมหรือบอร์ดเกม
- คลิป YouTube ปลอมพร้อมลิงก์ “Mod/Trainer” ใต้คลิป
ทำไมเกมเมอร์ถึงเป็นเป้าหมายหลัก
Discord ถูกใช้เชื่อมโยงบัญชีเกมหลายแพลตฟอร์ม เช่น Steam, Epic, Roblox หรือ Riot ID ซึ่งทำให้ Token เดียวสามารถเปิดทางเข้าถึงข้อมูลจำนวนมากได้ในคราวเดียว นอกจากนี้ บัญชีเกมมักมีของในเกมที่มีมูลค่า (item, skin, NFT, หรือคริปโต) ทำให้แฮกเกอร์เห็นผลประโยชน์มากกว่าเป้าหมายทั่วไป
วิธีป้องกันและจัดการเมื่อถูกโจมตี
ป้องกันไว้ก่อน
- อย่าดาวน์โหลดไฟล์จากแหล่งไม่รู้จัก โดยเฉพาะ “mod”, “trainer”, “FPS booster”, “Discord Nitro free” ฯลฯ
- เปิด MFA (ยืนยันสองขั้นตอน) ในทุกแพลตฟอร์มที่มีให้
- อัปเดตแอนติไวรัส ให้ทันสมัย และสแกนเป็นประจำ
- จำกัดสิทธิ์การเข้าถึงกล้อง/ไมค์ เฉพาะโปรแกรมที่จำเป็นเท่านั้น
หากสงสัยว่าถูกขโมยบัญชี
- รีบ เปลี่ยนรหัสผ่าน Discord และอีเมล ที่เชื่อมโยง
- ล็อกเอาต์จากทุกอุปกรณ์
- รีเซ็ต Token Discord และดาวน์โหลดโปรแกรมจากเว็บไซต์ทางการใหม่
- ล้างข้อมูลที่บันทึกในเบราว์เซอร์ทั้งหมด (รหัสผ่าน, cookies, autofill)
- ตรวจสอบรายการชำระเงินใน PayPal หรือบัตรเครดิต หากพบธุรกรรมแปลกให้รีบติดต่อธนาคาร
บทสรุป
RedTiger เป็นตัวอย่างชัดเจนของ “เส้นบาง ๆ ระหว่างเครื่องมือเพื่อการศึกษา กับเครื่องมือเพื่ออาชญากรรม” แม้จะถูกสร้างขึ้นเพื่อใช้ในงานทดสอบความปลอดภัย แต่เมื่ออยู่ในมือคนผิด ก็สามารถกลายเป็นมัลแวร์ที่ขโมยข้อมูลสำคัญทุกชนิดได้ในพริบตา
ผู้ใช้ Discord และเกมเมอร์ควรเพิ่มความระวังในการดาวน์โหลดไฟล์จากอินเทอร์เน็ต โดยเฉพาะไฟล์ที่อ้างว่า “ฟรี” หรือ “ช่วยให้เกมดีขึ้น” เพราะเบื้องหลังอาจเป็นโค้ดขโมยข้อมูลที่พร้อมทำงานทันทีที่คุณดับเบิลคลิก
ที่มา: bleepingcomputer
