Siber suçlular, açık kaynaklı bir araç üzerinden Discord ve tarayıcı hesaplarını hedef alan yeni bir saldırı dalgası başlattı; başlangıçta güvenlik araştırmacıları için geliştirilen Python tabanlı RedTiger, kötü niyetli aktörlerin elinde güçlü bir bilgi hırsızlığı aracına dönüştü. Araç, esasen ağ taraması, parola denemeleri, açık kaynak istihbaratı ve zararlı örnek üretme gibi penetrasyon testi işlevleri için tasarlanmışken, saldırganlar bunun kodunu PyInstaller benzeri derleyicilerle bağımsız .exe hâline getirip oyun eklentisi veya Discord yardımcı programı gibi aldatıcı adlarla dağıtıyor; kullanıcılar bu dosyaları çalıştırdığında sistemlerine arka kapı oluşturan kötü amaçlı yazılımlar yükleniyor.
Discord üzerinden her şeyiniz çalınabilir
Kötüye hazırlanmış RedTiger sürümleri aktif hale geldiğinde ilk olarak Discord istemcisi ile yaygın web tarayıcılarının veri tabanlarını tarıyor; düzenli ifadeler yardımıyla Discord jetonlarını çekiyor, geçerliliğini doğruluyor ve hesapla ilişkili e-posta, profil ayrıntıları, kayıtlı ödeme seçenekleri, iki faktör bilgileri ve abonelik benzeri verileri toplamaya başlıyor. Ayrıca Discord’un index.js dosyasına enjekte edilen kodla oturum açma, parola değiştirme ve satın alma işlemleri gibi aktiviteleri gerçek zamanlı izlemek mümkün hâle geliyor; bu sayede kredi kartı ve PayPal bilgilerine erişim de elde edilebiliyor.
Tarayıcı tarafındasa kaydedilmiş parolalar, çerezler, geçmiş kayıtları, saklı kredi kartı bilgileri ve uzantılar hedefleniyor; zararlı yazılım masaüstünden ekran görüntüleri alabiliyor ve sistemdeki .txt, .sql, .zip gibi dosyalar üzerinde arama yapabiliyor. Toplanan veriler arşivlenip üçüncü taraf dosya paylaşım hizmetlerine yükleniyor ve saldırganlar bu dosyaların indirme bağlantılarını Discord webhook’ları aracılığıyla yönetiyorlar. Bazı kötü örnekler analiz araçlarını ya da sanal ortamları tespit ettiklerinde çalışmayı durdurarak güvenlik araştırmacılarının incelemesini güçleştiriyor; hatta davranış analizini yanıltmak için rastgele işlemler ve sahte dosya üretme taktikleri de kullanılıyor.
Güvenlik incelemeleri saldırıların özellikle Fransız Discord kullanıcılarını hedeflediğini gösterse de, kullanılan dağıtım kanalları ve çalışma mantığı aynı tekniğin coğrafi sınır tanımadan hızla yayılabileceğine işaret ediyor. Saldırılar genellikle oyun toplulukları, hile veya mod paylaşımı yapılan gruplar ve üçüncü taraf eklenti arayan kullanıcıların bulunduğu ortamlarda başlıyor; bu nedenle bu tür kaynaklardan indirilen çalıştırılabilir dosyalara karşı ekstra dikkat gerekiyor.
Uzmanlar doğrulanmamış kaynaklardan gelen .exe veya benzeri çalıştırılabilir dosyaların asla açılmaması gerektiğini özellikle vurguluyorlar; oyun odaklı “mod”, “trainer” veya “booster” vaatleri taşıyan dağıtımlar yüksek risk içeriyor. Şüpheli bir etkinlik fark edilirse Discord oturum jetonlarının geçersiz kılınması, tüm hesap şifrelerinin değiştirilmesi ve mümkünse tarayıcıda kayıtlı parolaların temizlenmesi ilk adımlar arasında olmalı; uygulamayı resmi kaynaktan yeniden kurmak, iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmek ve güvenilir bir antivirüs/EDR ile tam sistem taraması yapmak da şart. Ayrıca tarayıcı uzantılarının gözden geçirilmesi, bilinmeyen eklentilerin kaldırılması, şüpheli dosyaların yedeğinin izole edilmesi ve gerektiğinde profesyonel yardım alınması atılabilecek diğer önemli önlemler.
RedTiger örneği, açık kaynaklı güvenlik araçlarının kötü niyetli ellerde nasıl tehlikeli araçlara dönüşebileceğini açıkça ortaya koyuyor; tespitten kaçınma ve sahte davranış üretme yetenekleri nedeniyle bu tür kötü sürümleri yakalamak zorlaşabiliyor ve imza-tabanlı savunmaların yanıltılması riski yüksek oluyor. Türkiye’de Discord’un engellenmesinin üzerinden bir yıl geçtiği hatırlatılırken, veri sızıntısı yaşayan platformun ne zaman erişime açılacağına dair belirsizlikler sürüyor — bu durum da kullanıcıların kendi güvenlik önlemlerini daha titiz uygulamalarını gerektiriyor.
