Ny phishing-tjeneste lader kriminelle stjæle loginoplysninger og MFA-koder direkte

De fleste phishing-sider er blot statiske kopier af login-sider for populære tjenester som Apple, Facebook eller Microsoft. Disse sider bliver ofte hurtigt fjernet af sikkerhedsfirmaer eller aktivister, der bekæmper misbrug. Men en ny phishing-as-a-service-tjeneste gør det nu muligt for kriminelle at omgå begge disse problemer.

Tjenesten, kaldet Starkiller, lader brugerne sende ofre til de rigtige hjemmesiders login-sider – men via en proxy-server kontrolleret af angriberen. På den måde kan de stjæle brugernavne, adgangskoder og endda MFA-koder (flerfaktorautentificering), samtidig med at offeret tror, de logger ind på det legitime site.

Hvordan Starkiller fungerer

Ifølge en analyse fra sikkerhedsfirmaet Abnormal AI giver Starkiller kriminelle mulighed for at vælge, hvilken tjeneste de ønsker at efterligne – for eksempel Microsoft, Google eller Facebook. Derefter genererer tjenesten en vildledende URL, der ligner det rigtige domæne, men som i virkeligheden leder offeret til angriberens server.

Et eksempel på en falsk Microsoft-login-side kunne se sådan ud:

login.microsoft.com@[skadelig/kortet-URL]

Her udnytter angriberne, at alt før @-tegnet i en URL opfattes som brugernavn, mens det rigtige domæne kommer efter. Offeret ser derfor en URL, der ligner den officielle, men som i virkeligheden leder til en ondsindet server.

Avanceret teknologi bag angrebene

Når offeret klikker på linket, starter Starkiller en Docker-container med en headless Chrome-browser, der indlæser den rigtige login-side. Herefter fungerer containeren som en mellemmands-proxy, der:

• videresender offerets tastetryk og formularindtastninger til det rigtige site,
• returnerer siderne fra det rigtige site til offeret,
• logfører alle indtastninger, herunder sessionstokens og cookies.

Dette giver angriberne mulighed for at:

• overvåge offerets skærm i realtid,
• stjæle alle tastetryk via en keylogger,
• kapre sessioner ved at stjæle cookies og tokens,
• spore offerets geografiske placering,
• modtage øjeblikkelige varsler via Telegram, når nye loginoplysninger kommer ind.

Tjenesten leverer også detaljerede kampagneanalyser, herunder antallet af besøg, konverteringsrater og ydeevnegrafer – ligesom et legitimt SaaS-værktøj ville gøre.

MFA-koder bliver også stjålet

Starkiller er særligt farlig, fordi den også kan stjæle MFA-koder. Da offeret i virkeligheden logger ind på det rigtige site via angriberens proxy, bliver alle autentificeringstrin – herunder MFA-koder – videresendt til kriminelle. På den måde kan de fuldstændigt overtage offerets konto, selvom offeret har aktiveret flerfaktorautentificering.

Sikkerhedseksperter advarer om, at tjenester som Starkiller gør det betydeligt lettere for cyberkriminelle at gennemføre sofistikerede phishing-angreb, selv uden avanceret teknisk viden.