RedTiger Discord Infostealer Curi Token

Perkumpulan peretas kini memanfaatkan alat red-team sumber terbuka bernama RedTiger untuk membangun infostealer yang secara khusus mencuri data akun Discord beserta informasi pembayaran pengguna. Laporan keamanan dari Netskope mengungkapkan bahwa varian berbahaya ini telah disalahgunakan—terutama menargetkan pemilik akun Discord di Prancis—dengan kemampuan pengumpulan data yang luas dan mekanisme pengelakan forensik yang canggih.

RedTiger sendiri adalah rangkaian alat berbasis Python untuk Windows dan Linux yang menyertakan utilitas pemindaian jaringan, krak kata sandi, OSINT, serta pembangun malware. Meskipun proyek ini menandai fungsi berbahayanya dengan label “legal use only” di GitHub, distribusi bebas tanpa pembatasan membuatnya mudah disalahgunakan.

Metode serangan
Pelaku mengompilasi komponen info-stealer RedTiger menjadi berkas biner mandiri menggunakan PyInstaller, lalu menyamarkan nama file sebagai alat terkait game atau Discord. Setelah dijalankan pada mesin korban, malware melakukan langkah-langkah sebagai berikut:

• Memindai berkas basis data Discord dan browser untuk mengekstrak token Discord (baik yang tersimpan maupun terenkripsi), lalu memvalidasinya untuk mengambil informasi profil, email, status autentikasi multi-faktor, dan langganan.
• Menginjeksi skrip JavaScript ke dalam berkas index.js Discord untuk mencegat panggilan API—sehingga dapat merekam kejadian seperti upaya login, pembelian, atau perubahan kata sandi—dan juga mengekstrak informasi pembayaran yang disimpan (PayPal, kartu kredit).
• Mengumpulkan kredensial dan cookie browser, data dompet kripto, file permainan, serta berkas .TXT/.SQL/.ZIP yang ditemukan pada sistem. Malware juga dapat mengambil foto webcam dan menangkap tangkapan layar.
• Mengarsipkan data yang dicuri lalu mengunggahnya ke layanan penyimpanan anonim (mis. GoFile). Tautan unduhan hasil unggahan dikirimkan ke pelaku melalui webhook Discord bersama metadata korban.

Teknik pengelakan dan dampak
RedTiger dilengkapi mekanisme anti-analisis: mendeteksi dan menghentikan diri saat berada dalam sandbox atau jika debugger terpasang, serta memicu ribuan proses palsu dan membuat ratusan file acak untuk membingungkan analis forensik. Kombinasi kemampuan pencurian token dan injeksi API ini memberi pelaku jalur cepat untuk mengambil alih akun Discord, termasuk akun yang terhubung ke informasi pembayaran—dengan konsekuensi pencurian identitas, penipuan langganan, atau penyalahgunaan aset digital.

Indikator kompromi yang perlu dicari
• Aktivitas login atau pembelian mencurigakan pada akun Discord.
• Berkas index.js Discord yang dimodifikasi atau skrip asing pada folder aplikasi.
• Koneksi keluar ke layanan penyimpanan anonim atau webhook Discord yang tidak dikenal.
• Kehadiran file eksekusi berlabel game/Discord dari sumber tidak resmi.
• Hasil deteksi antivirus/EDR yang mengindikasikan PyInstaller-packed binary atau artefak RedTiger.

Langkah mitigasi dan pemulihan

1. Segera cabut (revoke) token Discord: Jika mencurigai kompromi, lakukan log out semua sesi dari pengaturan akun Discord atau gunakan endpoint revoke token pada level aplikasi.
2. Ubah kata sandi dan aktifkan MFA di semua akun penting; gunakan autentikator berbasis aplikasi atau kunci keamanan hardware bila memungkinkan.
3. Pasang ulang klien Discord resmi dari sumber resmi dan hapus salinan aplikasi yang mencurigakan.
4. Bersihkan browser: hapus kata sandi tersimpan, cookie, dan ekstensi yang tidak dikenal; pertimbangkan reset atau instal ulang browser.
5. Scan sistem secara menyeluruh dengan solusi antivirus/EDR terkini dan, bila perlu, lakukan instalasi bersih OS untuk memastikan pembersihan total.
6. Periksa rekening pembayaran dan layanan terhubung (PayPal, kartu kredit) dan pantau transaksi yang tidak sah; hubungi penerbit kartu bila diperlukan.
7. Jangan mengunduh eksekutabel atau ‘trainer/mod’ game dari sumber tidak tepercaya; distribusi malware di masa lalu kerap menyamar sebagai alat bantu permainan.
8. Tingkatkan deteksi dan logging pada lingkungan perusahaan—pantau pembuatan proses massal, modifikasi berkas aplikasi, dan unggahan ke layanan penyimpanan anonim.
9. Edukasi pengguna tentang risiko tautan/berkas mencurigakan di saluran Discord, forum, atau video YouTube yang tampak menawarkan alat gratis.

Catatan penting: karena RedTiger adalah proyek publik dengan fungsi berbahaya yang mudah dikompilasi, organisasi dan pengguna rumahan harus menganggap ketersediaan kode sumber ini sebagai peningkatan risiko. Upaya mitigasi terbaik menggabungkan kebijakan pengunduhan yang ketat, kontrol akses, proteksi endpoint yang kuat, serta kebiasaan keamanan pengguna yang baik.