1. RedTiger มันคืออะไร
- RedTiger เดิมทีเป็นเครื่องมือโอเพ่นซอร์สสำหรับ “Red Team / penetration testing” ที่พัฒนาด้วย Python รองรับ Windows และ Linux โดยมีโมดูลสำหรับสแกนเครือข่าย, OSINT, เครื่องมือของ Discord ฯลฯ.
- แต่ล่าสุดถูก “ดัดแปลง” โดยผู้ไม่หวังดี (threat actors) ให้กลายเป็นมัลแวร์ (infostealer) ที่มุ่งเป้าไปที่ผู้ใช้ Discord, เกมเมอร์, และกระเป๋าเงินคริปโต เรียกว่าเปลี่ยนบทบาทจากเครื่องมือทดสอบ เป็นเครื่องมือโจมตีเต็มรูปแบบ
2. วิธีการทำงาน
- มัลแวร์จะถูกปลอมเป็นไฟล์ .exe หรือ .bin ที่ดูเหมือนโปรแกรมช่วยเล่นเกม, ม็อด, เครื่องมือ Discord แล้วหลอกให้ผู้ใช้ดาวน์โหลด
- เมื่อติดตั้งแล้ว จะสแกนหาไฟล์ฐานข้อมูลของ Discord (เช่น โฟลเดอร์ %AppData%\Discord) และเบราว์เซอร์ เพื่อดึงโทเค็น (token) แบบบันทึกไว้หรือแบบเข้ารหัส, รหัสผ่านที่บันทึกไว้, คุกกี้, ประวัติเบราว์เซอร์, ข้อมูลบัตรเครดิต/PayPal และไฟล์กระเป๋าคริปโต
- มัลแวร์แทรก JavaScript ลงในไฟล์ index.js ของ Discord เพื่อดักจับเหตุการณ์ เช่น การล็อกอิน, การซื้อสินค้า, การเปลี่ยนรหัสผ่าน — แม้ผู้ใช้จะเปลี่ยนรหัสแล้ว Token อาจยังถูกขโมยได้
- นอกจากนี้ มีฟีเจอร์ :
- ถ่ายภาพหน้าจอ (screenshot) และเปิดเว็บแคม (ถ้าได้รับสิทธิ์) เพื่อถ่ายภาพผู้ใช้
- บีบอัดข้อมูลที่ขโมยแล้วอัปโหลดไปยังบริการฝากไฟล์สาธารณะ เช่น GoFile (ไม่ต้องลงชื่อเข้าใช้) และส่งลิงก์กลับไปยังผู้โจมตีผ่าน Discord webhook
- มีระบบหลบหลีกการตรวจจับ เช่น anti-sandbox, หยุดทำงานถ้าเจอ debugger, สร้าง process และไฟล์สุ่มจำนวนมากเพื่อยากต่อการวิเคราะห์
3. ใครคือเป้าหมาย
- ผู้ใช้ Discord โดยเฉพาะอย่างยิ่งเกมเมอร์ที่เชื่อมบัญชีกับแพลตฟอร์มเกมหรือมีมูลค่าภายในเกม (item, skin, คริปโต) ถูกมองว่าเป็นเป้าหมายหลัก
- ชุมชนเกม, ช่อง Discord ต่าง ๆ, กลุ่มแจกม็อด – เป็นจุดแพร่กระจายของไฟล์ปลอม
4. ช่องทางแพร่กระจาย
- ลิงก์ดาวน์โหลดผ่าน Discord Server, เว็บไซต์แจกซอฟต์แวร์ไม่รู้แหล่ง, ฟอรัมเกม, โฆษณาแฝง (malvertising), คลิป YouTube ที่อ้างว่าแจกม็อดฟรี.
5. อาการ / สัญญาณที่อาจบอกว่าโดนแล้ว
- พบการล็อกอินแปลก ๆ ที่บัญชี Discord ของคุณ, หรือถูกบังคับให้ออกจากระบบโดยไม่ทราบเหตุ.
- พบรหัสผ่านในบัญชีอื่น ๆ ถูกรีเซ็ตรุนแรงโดยคุณไม่ทำ.
- ได้รับแจ้งธุรกรรมที่ไม่รู้จัก (ใน PayPal / บัตรเครดิต) หลังใช้ Discord หรือเกม.
- โปรแกรมแอนติไวรัสแจ้งว่าพบภัยคุกคาม หรือรู้สึกว่าเครื่องทำงานช้าอย่างผิดปกติ (อาจมี process สุ่มจำนวนมาก).
6. วิธีป้องกัน
- อย่า ดาวน์โหลดไฟล์ .exe/.bin จากแหล่งที่ไม่รู้จัก โดยเฉพาะโปรแกรมม็อด, โปรแกรมช่วยเล่น, หรือโปรแกรมที่อ้างว่า “ฟรี” เพื่อเกมหรือ Discord.
- เปิดใช้งาน MFA (การยืนยันตัวตนสองขั้นตอน) บัญชี Discord, อีเมล, และบริการอื่น ๆ ที่รองรับ.
- อัปเดตระบบปฏิบัติการ, เบราว์เซอร์ และโปรแกรมแอนติไวรัสให้ล่าสุดอยู่เสมอ.
- จำกัดสิทธิ์ของโปรแกรมที่ขอเข้าถึงกล้องเว็บแคมหรือไมโครโฟน และตรวจสอบให้แน่ใจว่าอนุญาตเฉพาะโปรแกรมที่เชื่อถือได้.
- ตรวจสอบกิจกรรมบัญชี Discord ของคุณ หากมีการเข้าใช้ผิดปกติ ให้ทำการรีเซ็ตรหัส, ออกจากระบบทุกอุปกรณ์, และติดตั้งโปรแกรมใหม่จากเว็บไซต์ทางการ.
7. ถ้าคิดว่าโดนเข้าแล้ว ทำอย่างไร
- รีบ เปลี่ยนรหัสผ่านบัญชี Discord และอีเมลที่เชื่อมโยงด้วย.
- ยกเลิกโทเค็น (revoke token) ของ Discord และออกจากระบบทุกอุปกรณ์
- ล้างข้อมูลที่บันทึกไว้ในเบราว์เซอร์ (รหัสผ่าน, คุกกี้, autofill) และติดตั้งโปรแกรมใหม่จากแหล่งทางการ
- ตรวจสอบธุรกรรมทางการเงิน (บัตรเครดิต, PayPal) หากพบรายการที่ไม่รู้จัก ให้ติดต่อธนาคารทันที.
8. บทสรุป
RedTiger เป็นตัวอย่างที่ชัดเจนว่า “เครื่องมือที่เปิดให้ใช้ในทางทดสอบ” เมื่ออยู่ในมือผู้ไม่หวังดี สามารถกลายเป็นมัลแวร์ที่อันตรายได้อย่างรวดเร็ว โดยเฉพาะในวงการเกมและ Discord ที่มีผู้ใช้จำนวนมากและความน่าสนใจในข้อมูลบัญชี / มูลค่าภายในเกม.
หากคุณใช้ Discord, เล่นเกมออนไลน์ หรือติดตั้งโปรแกรมเสริมต่าง ๆ ต้องมีสติในการดาวน์โหลด และหมั่นตรวจสอบความปลอดภัยของบัญชีอยู่เสมอ
