Blockdit Logo (Mobile)
BAYCOMS
27 มิ.ย. เวลา 03:00 • วิทยาศาสตร์ & เทคโนโลยี

พบช่องโหว่ Discord! แฮ็กเกอร์ใช้ “ลิงก์เชิญหมดอายุ” หลอกติดมัลแวร์ ขโมยข้อมูลเหยื่อทั่วโลก

แพลตฟอร์มแชตยอดฮิตอย่าง Discord กำลังตกเป็นเป้าหมายของแฮ็กเกอร์ หลังนักวิจัยจาก Check Point ค้นพบช่องโหว่ที่เปิดทางให้ผู้ไม่หวังดี นำลิงก์เชิญ (Invite) ที่หมดอายุหรือลบไปแล้วกลับมาใช้ซ้ำ เพื่อกระจายมัลแวร์เข้าสู่เครื่องของผู้ใช้งานแบบแนบเนียน โดยเฉพาะมัลแวร์ประเภท Remote Access Trojan และตัวขโมยข้อมูล (Information Stealer) ที่อันตรายสุด ๆ
เกิดอะไรขึ้นกับระบบเชิญของ Discord
Discord ใช้ระบบ “ลิงก์เชิญ (Invite Link)” สำหรับให้ผู้ใช้งานเข้าร่วมเซิร์ฟเวอร์ ซึ่งลิงก์แต่ละอันมีรหัสเฉพาะที่สามารถกำหนดอายุได้ว่าจะให้ใช้งานชั่วคราว ถาวร หรือแบบกำหนดเอง (Custom Vanity Link) โดยลิงก์แบบกำหนดเองจะมีเฉพาะในเซิร์ฟเวอร์ระดับ 3 ที่จ่ายเงินเพื่อรับสิทธิพิเศษ ในกรณีของเซิร์ฟเวอร์ระดับ 3 ผู้ดูแลสามารถตั้งชื่อรหัสเชิญเองได้ เช่น discord.gg/ชื่อที่กำหนด อย่างไรก็ตาม หากเซิร์ฟเวอร์นั้นสูญเสียสถานะ Boost รหัสเชิญแบบกำหนดเองจะหลุดว่าง และสามารถถูกนำไปใช้ใหม่โดยเซิร์ฟเวอร์อื่นได้
นักวิจัยจาก Check Point พบว่า ช่องโหว่นี้ยังรวมถึงลิงก์เชิญทั่วไปที่ “หมดอายุ” หรือ “ถูกลบไปแล้ว” ซึ่งสามารถนำกลับมาใช้งานได้ โดยเฉพาะเมื่อลิงก์ชั่วคราวถูกเปลี่ยนเป็นถาวร — Discord จะไม่อัปเดตเวลาหมดอายุ ทำให้เกิดความเข้าใจผิดว่าลิงก์ใช้งานได้ตลอด
อีกประเด็นที่น่ากังวลคือ Discord จะเปรียบเทียบรหัส Vanity โดยแปลงเป็นตัวพิมพ์เล็กทั้งหมด นั่นหมายความว่า รหัสที่มีตัวพิมพ์ใหญ่ (เช่น AbC123) สามารถซ้ำกับรหัสพิมพ์เล็ก (abc123) ได้ แม้รหัสเดิมจะยังใช้งานอยู่ก็ตาม ช่องโหว่เหล่านี้เปิดทางให้แฮ็กเกอร์สามารถ “ยึดคืน” รหัสเชิญเก่า และใช้สร้างลิงก์ปลอมเพื่อหลอกผู้ใช้งานเข้าสู่เซิร์ฟเวอร์อันตรายได้อย่างแนบเนียน
หลอกได้แนบเนียนแค่ไหน
เมื่อผู้ใช้งานกดลิงก์ปลอม พวกเขาจะถูกนำไปยังเซิร์ฟเวอร์ที่ดู “เหมือนจริง” ทุกอย่าง มีเพียงห้องเดียวให้เห็นคือ #verify และมีบอทขอให้ผู้ใช้ “ยืนยันตัวตน” ผ่านขั้นตอนจำลองที่ดูน่าเชื่อถือ สิ่งที่ตามมาคือรูปแบบการโจมตีที่เรียกว่า “ClickFix” โดยแฮ็กเกอร์จะพาผู้ใช้ไปยังหน้าเว็บที่เลียนแบบ UI ของ Discord และหลอกว่าระบบ CAPTCHA โหลดไม่สำเร็จ พร้อมชักจูงให้ผู้ใช้ กด Windows + R แล้ววางคำสั่ง PowerShell ที่ถูกเตรียมไว้ ซึ่งหากทำตามก็เท่ากับติดมัลแวร์ทันทีโดยไม่รู้ตัว
การติดมัลแวร์หลายชั้น (Multi-Stage Infection)
หลังจากเหยื่อรันคำสั่ง PowerShell มัลแวร์จะเริ่มติดตั้งดังนี้
PowerShell Downloaders – ดึงโค้ดชุดแรกจากเซิร์ฟเวอร์ภายนอก
C++ Loaders แบบ Obfuscate – ซ่อนร่องรอยการทำงาน
VBScript Files – ช่วยโหลดมัลแวร์สุดท้ายลงเครื่อง
และนี่คือ “ของแถม” สุดอันตรายที่ถูกติดตั้งในเครื่องของเหยื่อ
มัลแวร์
ความสามารถ
AsyncRAT (AClient.exe)
ควบคุมเครื่องจากระยะไกล, Keylogging, ดูผ่านกล้อง/ไมโครโฟน
Skuld Stealer (skul.exe)
ขโมยรหัสจากเบราว์เซอร์, คุกกี้, โทเค็น Discord, กระเป๋าคริปโต
ChromeKatz (cks.exe)
ดัดแปลงจากเครื่องมือ Open-source สำหรับขโมยข้อมูลล็อกอิน
วิธีป้องกันตัวเอง
เพื่อไม่ให้ตกเป็นเหยื่อของแคมเปญอันตรายนี้
หลีกเลี่ยงการคลิกลิงก์เชิญ Discord เก่าหรือที่มาจากแหล่งไม่รู้จัก
ระวังขั้นตอน “ยืนยันตัวตน” ที่ดูผิดปกติ โดยเฉพาะถ้ามีการพาไปนอกแอป
อย่ารันคำสั่ง PowerShell หรือสคริปต์ใด ๆ ที่คุณไม่เข้าใจอย่างถ่องแท้
สำหรับผู้ดูแลเซิร์ฟเวอร์ ควรใช้ลิงก์เชิญแบบถาวร และหลีกเลี่ยงการใช้ Vanity Link ซ้ำ
ช่องโหว่เล็ก ๆ ในระบบเชิญของ Discord กลับกลายเป็น “ช่องทางมหันตภัย” ให้แฮ็กเกอร์ใช้แพร่มัลแวร์และขโมยข้อมูลผู้ใช้งานแบบไม่รู้ตัว ใครที่ใช้งาน Discord เป็นประจำ โดยเฉพาะสายเกมเมอร์, นักเรียน, หรือคนที่ชอบเข้าร่วมเซิร์ฟเวอร์สาธารณะ ต้องระวังให้มากขึ้นอีกขั้น
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา