Investigação aponta uso da ferramenta de segurança RedTiger para disseminar malware que mira usuários do Discord

Uma investigação da Netskope identificou um novo esquema de ciberataque que utiliza a plataforma de comunicação Discord como porta de entrada para roubo de informações pessoais. O golpe se destaca por empregar a RedTiger, uma suíte legítima de cibersegurança lançada em 2024, convertendo-a em instrumento de invasão capaz de coletar credenciais, métodos de pagamento e carteiras de criptomoedas das vítimas.

Quem está envolvido: os agentes do ataque e suas ferramentas

O episódio gira em torno de três atores principais. No papel de alvo, estão os usuários do Discord — serviço popular entre comunidades de jogos, tecnologia e outros grupos de interesse. No papel de investigador, aparece a Netskope, empresa que monitorou e descreveu a operação criminosa. Por fim, o elemento central da ofensiva é a RedTiger, originalmente concebida para Red Teams realizarem testes de invasão controlados em ambientes corporativos.

O que aconteceu: da ferramenta legítima ao software hostil

Segundo o relatório, cibercriminosos compilaram trechos da RedTiger por meio do PyInstaller, transformando scripts em Python em binários autônomos. Esses executáveis, batizados com nomes que remetem a jogos ou ao próprio Discord, são distribuídos on-line. A escolha dos rótulos aumenta a confiança do usuário, que faz o download acreditando ter encontrado um aplicativo útil, seja um jogo, um mod ou até um suposto booster de desempenho para o Discord.

Quando e onde: linha do tempo e ambiente do ataque

A suite RedTiger foi disponibilizada ao público em 2024 como projeto open-source. Já o ataque detalhado pela Netskope foi identificado em 27 de outubro de 2025. O cenário principal de disseminação é a internet aberta, onde arquivos camuflados circulam por fóruns, servidores de compartilhamento e repositórios não oficiais, aproximando-se de comunidades que procuram softwares gratuitos ou modificações para jogos.

Como o golpe é executado: do download à persistência

O processo de comprometimento segue uma sequência clara:

1. Distribuição do arquivo malicioso: os criminosos disponibilizam o binário criado com o PyInstaller em páginas que prometem funcionalidades atraentes. A nomenclatura faz referência a conteúdos populares entre gamers, estimulando o clique.

2. Execução pela vítima: ao abrir o programa, o usuário concede à aplicação os mesmos privilégios que concederia a qualquer software legítimo, sem acionar suspeitas imediatas.

3. Coleta de dados locais: o código analisa as bases de dados do Discord instaladas no computador e arquivos mantidos pelo navegador. Nessa fase, obtém e-mails, senhas, tokens de autenticação e informações de pagamento.

4. Exfiltração para a nuvem: os dados reunidos são compactados e enviados ao GoFile, serviço gratuito de armazenamento em nuvem. Logo em seguida, um webhook no próprio Discord notifica o invasor, repassando o link para download do pacote de informações roubadas.

5. Persistência e monitoramento: para garantir acesso contínuo, o malware injeta código JavaScript customizado no arquivo index.js do Discord. O fragmento intercepta chamadas de API e monitora eventos como novos logins, compras dentro da plataforma e mudanças de senha.

Quais dados são visados: amplitude da exposição

A campanha foca em material considerado de alto valor. Entre as categorias citadas pela Netskope estão:

• Dados de conta: endereços de e-mail e senhas que possibilitam acesso irrestrito ao perfil do usuário.
• Informações de pagamento: detalhes de cartões ou outras formas de cobrança registradas no Discord ou no navegador.
• Carteiras de criptomoedas: chaves e credenciais armazenadas localmente, alvo de interesse em fraudes financeiras.
• Arquivos adicionais: documentos em formato TXT, bancos de dados SQL e arquivos ZIP localizados em diretórios do sistema.
• Capturas de tela: imagens que podem revelar conversas, senhas temporárias ou confirmações de compra.

Por que a RedTiger foi escolhida: características da ferramenta

Lançada originalmente para fins de auditoria, a RedTiger agrega funções diversas, entre elas varredura de redes, quebra de senhas, pesquisa de dados públicos (OSINT) e criação de malwares para ambientes controlados. Por ser open-source e escrita em Python, seu código é livremente acessível, facilitando adaptações malignas. Além disso, a compatibilidade com PyInstaller viabiliza a transformação rápida de scripts em executáveis prontos para distribuição.

Impacto específico na comunidade gamer

A investigação destaca a comunidade gamer como a mais propensa a se tornar vítima. Práticas como a instalação de mods, a busca por jogos gratuitos e o download de melhorias de desempenho criam um ecossistema em que arquivos não verificados circulam com frequência. Esse comportamento aumenta o risco, pois o usuário pode priorizar a conveniência em detrimento da segurança, abrindo mão de verificações básicas de procedência.

Consequências imediatas e potenciais danos

Uma vez em posse das credenciais, o invasor pode assumir o controle total do perfil no Discord, realizar compras indevidas e até repassar mensagens de phishing para contatos da vítima. Com métodos de pagamento e carteiras de criptomoedas expostos, o prejuízo financeiro pode ser direto, envolvendo transações não autorizadas. A coleta de arquivos de texto e bases de dados amplia o raio de ação, permitindo acesso a informações corporativas no caso de usuários que armazenam dados de trabalho no mesmo equipamento.

Medidas de prevenção recomendadas

O caso reforça a necessidade de práticas elementares de segurança digital, listadas pelos analistas da Netskope:

• Baixar programas exclusivamente de fontes oficiais, como lojas de aplicativos ou sites verificados.
• Manter soluções antivírus atualizadas, garantindo a detecção de variantes conhecidas do malware.
• Desconfiar de ofertas que prometem benefícios extraordinários ou acesso a conteúdo pago de forma gratuita.
• Analisar extensões de arquivo e assinaturas digitais antes da instalação.
• Verificar a reputação de downloads citados em fóruns, evitando links compartilhados por usuários desconhecidos.

Perspectiva para profissionais de segurança

Embora a RedTiger tenha sido criada para fins legítimos, seu desvio de finalidade exemplifica um dilema frequente em cibersegurança: ferramentas destinadas a testes podem ser cooptadas para ataques reais. Profissionais de segurança que utilizam a suíte em ambientes corporativos devem reforçar políticas de governança, assegurando que somente equipes autorizadas tenham acesso aos recursos de desenvolvimento de malware oferecidos pela plataforma.

Conclusão factual: principais pontos do incidente

Em síntese, o ataque investigado pela Netskope comprova que:

• A RedTiger, lançada em 2024, foi transformada em base para criar um malware distribuído entre usuários do Discord.
• A tática envolve compilar scripts com PyInstaller e mascarar os binários como jogos ou utilitários.
• O programa malicioso coleta e exfiltra dados sensíveis via GoFile, notificando os criminosos por webhook no próprio Discord.
• O código injeta JavaScript em index.js, mantendo persistência e monitorando atividades da vítima.
• O risco cresce em comunidades gamer, onde downloads não oficiais são prática comum.

Para o usuário final, a recomendação permanece clara: cautela máxima ao instalar qualquer software externo e atenção redobrada a promessas fora da realidade. Esses cuidados básicos, aliados a soluções de segurança atualizadas, reduzem significativamente a superfície de ataque explorada por campanhas que reciclam ferramentas legítimas para fins ilícitos.