Baru-baru ini, ditemukan celah serius di sistem undangan Discord yang memungkinkan peretas menghidupkan kembali invite link yang sudah kadaluwarsa atau dihapus, lalu mengarahkannya ke server berbahaya untuk menyebarkan malware.
🔄 Bagaimana Mekanismenya Bekerja
- Invite kustom kembali tersedia
Ketika server level 3 kehilangan status boost atau invite sementara telah kadaluwarsa, kode yang sama bisa digunakan kembali oleh server lain. Masalah ini juga berlaku untuk link permanen yang dihapus. - Masalah case-insensitive
Sistem Discord menyamakan undangan dalam huruf kecil, sehingga invite yang sama bisa digunakan dua kali jika salah satu disalin pakai huruf besar .
🐛 Kampanye Malware Multistage
- Penyerang memantau undangan kedaluwarsa dan membagikannya melalui media sosial untuk menarik korban ke server palsu .
- Setelah masuk, korban diarahkan ke saluran “#verify” dan diminta menjalankan skrip PowerShell secara manual untuk verifikasi akun.
- Ini memicu malware multistage: PowerShell downloader → loader C++ obfuscated → VBScript, yang akhirnya mengunduh dan menjalankan payload seperti:
- AsyncRAT (ransomware/RAT)
- Skuld Stealer (stealer kredensial)
- ChromeKatz (pencuri cookie & password).
- Malware juga menambahkan scheduled task untuk re-eksekusi setiap lima menit.
🛡 Cara Melindungi Diri
| Tindakan | Penjelasan |
|---|---|
| Hindari invite lama | Jangan percaya tautan undangan berumur lama di media sosial. |
| Waspadai verifikasi mencurigakan | Jangan jalankan skrip PowerShell dari situs yang tidak jelas. |
| Gunakan invite permanen resmi | Admin server Discord sebaiknya gunakan link permanen untuk menghindari hijacking. |
Sumber:
- BleepingComputer – Discord flaw lets hackers reuse expired invites in malware campaign – https://www.bleepingcomputer.com/