428/68 (IT) ประจำวันอังคารที่ 28 ตุลาคม 2568
นักวิจัยด้านความปลอดภัยไซเบอร์พบว่าผู้ไม่หวังดีนำเครื่องมือทดสอบเจาะระบบโอเพ่นซอร์ส RedTiger มาดัดแปลงเป็นมัลแวร์ขโมยข้อมูล (infostealer) โดยคอมไพล์เป็นไบนารีตั้งชื่อที่เกี่ยวข้องกับเกมหรือหรือ Discord เพื่อหลอกให้ผู้ใช้ดาวน์โหลด เมื่อรันมัลแวร์ระบบจะสแกนหาไฟล์ฐานข้อมูลของ Discord และเว็บเบราว์เซอร์เพื่อดึงโทเคน (tokens) รหัสผ่าน คุกกี้ ข้อมูลโปรไฟล์และข้อมูลการสมัครสมาชิก รวมทั้งข้อมูลการชำระเงินที่เก็บไว้บน Discord (เช่น PayPal และบัตรเครดิต) และไฟล์กระเป๋าคริปโตกับข้อมูลบัญชีเกมต่าง ๆ
นอกจากการขโมยข้อมูลบัญชีแล้ว RedTiger ยังมีฟังก์ชันแทรกโค้ด JavaScript ลงในไฟล์ของ Discord เพื่อดักจับการเรียกใช้ API และเหตุการณ์สำคัญ เช่น การล็อกอิน การซื้อ หรือการเปลี่ยนรหัสผ่าน รวมถึงจับภาพหน้าจอและภาพจากเว็บแคม ก่อนบีบอัดไฟล์ทั้งหมดแล้วอัปโหลดไปยังบริการฝากไฟล์สาธารณะ (เช่น GoFile) พร้อมส่งลิงก์ให้ผู้โจมตีผ่าน Discord webhook มัลแวร์ยังมีฟีเจอร์หลบเลี่ยงการวิเคราะห์ (anti-sandbox, การตรวจพบดีบักเกอร์) และสร้างความซับซ้อนเชิงนิติวิทยาศาสตร์ด้วยการสร้างไฟล์สุ่มจำนวนมาก ทำให้การตรวจสอบหลังเกิดเหตุเป็นไปได้ยาก
รายงานจาก Netskope ระบุว่าแคมเปญดังกล่าวมุ่งเป้าไปที่ผู้ใช้ Discord ในฝรั่งเศสเป็นหลัก โดยแนะนำผู้ใช้ที่สงสัยว่าถูกโจมตีเพิกถอน (revoke) โทเคนของ Discord เปลี่ยนรหัสผ่าน เปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) ในทุกบริการที่รองรับ ถอนการติดตั้งและติดตั้งโปรแกรม Discord ใหม่จากเว็บไซต์ทางการ ลบข้อมูลที่บันทึกในเบราว์เซอร์ เช่น รหัสผ่านและคุกกี้ และหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์หรือเครื่องมือเกมจากแหล่งที่ไม่น่าเชื่อถือ รวมถึงระมัดระวังไฟล์แนบหรือลิงก์ที่ได้รับผ่านชุมชนเกมหรือช่องทางออนไลน์ต่าง ๆ
