ช่องโหว่ Discord อนุญาตให้แฮกเกอร์ใช้ Invite Link ที่หมดอายุ พาผู้ใช้ไปเว็บไซต์ Malicious

จากแหล่งข่าว Bleeping Computer ได้ชี้ให้เห็นว่าแฮกเกอร์สามารถใช้ Invite Links ของ Discord ที่หมดอายุหรือลบไปแล้ว มาใช้เพื่อ Redirect ผู้ใช้ไปที่เว็บไซต์ที่ Malicious ที่จะสามารถส่งโทรจันหรือมัลแวร์เพื่อขโมยข้อมูลไปสู่เครื่องได้ต่อไป

Invite Links บน Discord เป็น URL ที่จะพาให้ใครบางคนสามารถเข้าไปสู่ง Discord Server ที่เฉพาะเจาะจงได้ ซึ่งจะมีทั้ง Invite Code ที่จะให้สิทธิในการเข้าถึง Server ซึ่งจะสามารถเป็นได้ทั้งรูปแบบ Temporary, Permanent หรือว่าจะปรับแต่งแบบ Custom สำหรับ Discord Server Level 3 ที่ต้องจ่ายเงิน

โดยแคมเปญการโจมตีครั้งนี้เป็นการใช้ประโยชน์จากช่องโหว่ของระบบการเชิญของ Discord โดยใช้ประโยชน์จากหลาย ๆ Stage ที่ทำให้สามารถหลบเลี่ยงเครื่องมือ Antivirus ต่าง ๆ ได้ เนื่องจากแฮกเกอร์ได้สังเกตเห็นว่าเมื่อ Level 3 Server ได้เสียง Boost Status แล้ว พวก Custom Invite Code จะสามารถใช้งานได้และจะถูก Reclaim โดย Server อื่น ๆ ได้ด้วย 

ด้วยเหตุนี้ แฮกเกอร์ก็ได้เอา Invite Links เหล่านั้นมาแชร์ลงโซเชียลหรือหน้าเว็บไซต์ชุมชนที่เป็นทางการ แล้วยังทำหน้าตาให้ดูเหมือนของจริงอีกด้วย 

และเมื่อมีเหยื่อหลงเข้าไปแล้วก็จะให้ทำการ Verify ยืนยันตัวตนหากแต่จะทำให้เหมือนว่า CAPTCHA ไม่สามารถโหลดได้ จึงพาไปที่หน้าเว็บไซต์ปลอมเพื่อให้ดำเนินการรันคำสั่งบน PowerShell แทน ซึ่งตรงจุดนี้เองจะเป็นการทำให้ผู้ใช้งานดาวน์โหลดมัลแวร์ต่าง ๆ มาที่เครื่อง เพื่อดำเนินการโจมตีในขั้นตอนต่อ ๆ ไป

จากเหตุการณ์ที่เกิดขึ้น จึงแนะนำว่าผู้ใช้งาน Discord ให้หลีกเลี่ยง Invite Links เก่าโดยเฉพาะโพสที่มีมาหลายเดือนแล้ว และหากพบเจอว่าจะต้องรันคำสั่งบน PowerShell เพื่อยืนยันตัวตน ให้มองว่าน่าจะเป็นภัยคุกคามไว้ก่อน เพื่อความปลอดภัยในการใช้งานบน Discord 

ที่มา:  https://www.bleepingcomputer.com/news/security/discord-flaw-lets-hackers-reuse-expired-invites-in-malware-campaign/

About chatchai

Tech Writer แห่ง TechTalk Thai ที่สนใจในทุกนวัตกรรมและเทคโนโลยี

Check Also

1Password ให้ Claude ใช้ข้อมูลประจำตัวได้อย่างมั่นคงปลอดภัย ไม่ต้องผ่านโมเดล

บริษัทด้านความมั่นคงปลอดภัยทางอัตลักษณ์ 1Password ได้เปิดตัว 1Password for Claude ซึ่งเป็นการผสานการทำงานผ่านเบราว์เซอร์ที่ช่วยให้ Claude ของ Anthropic สามารถใช้ข้อมูลการเข้าสู่ระบบที่บันทึกไว้ของผู้ใช้เพื่อทำภารกิจออนไลน์ต่าง ๆ ให้สำเร็จ โดยที่ข้อมูลประจำตัวเหล่านั้นจะไม่ถูกส่งไปยังโมเดลปัญญาประดิษฐ์แต่อย่างใด

4 ปี PDPC จากกฎหมายบนกระดาษ สู่ผู้พิทักษ์ข้อมูลของคนไทยเมื่อการคุ้มครองข้อมูลส่วนบุคคลกลายเป็นด่านหน้าสร้าง “Digital Trust” ในยุค AI [PR]

ในวันที่ข้อมูลส่วนบุคคล ตั้งแต่ชื่อ เบอร์โทรศัพท์ ไปจนถึงใบหน้าและเสียง กลายเป็นสิ่งมีค่าไม่ต่างจากเงินในกระเป๋า ย้อนกลับไปเมื่อเพียง 4 ปีก่อน คำถามที่ได้ยินบ่อยที่สุดยังเป็นเพียงว่า ประเทศไทยพร้อมแล้วหรือยัง กับการมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่วันนี้ คำถามนั้นเปลี่ยนไปแล้ว เพราะการดูแลข้อมูลของคนไทยได้เดินทางมาไกลกว่าที่หลายคนคิด