Starkiller : un nouveau service de phishing contourne les protections MFA et redirige vers les vraies pages de connexion

Un service de phishing-as-a-service révolutionnaire

La plupart des sites de phishing ne sont que des copies statiques des pages de connexion de grandes plateformes en ligne. Ces sites sont souvent rapidement identifiés et supprimés par des activistes anti-abus ou des entreprises de cybersécurité. Cependant, un nouveau service de phishing-as-a-service, appelé Starkiller, permet aux cybercriminels de contourner ces obstacles.

Comment Starkiller fonctionne-t-il ?

Starkiller utilise des liens trompeurs qui chargent la page de connexion réelle de la marque ciblée. Il agit ensuite comme un relais entre la victime et le site légitime, transmettant les identifiants, mots de passe et codes MFA saisis par la victime vers le site authentique, tout en renvoyant les réponses du site à l'utilisateur. Cette méthode permet d'intercepter en temps réel toutes les interactions de la victime.

Contrairement aux kits de phishing classiques, qui nécessitent des compétences techniques pour configurer des serveurs, des noms de domaine ou des certificats, Starkiller automatise ces étapes. Les cybercriminels n'ont qu'à sélectionner la marque à imiter (Apple, Facebook, Google, Microsoft, etc.) et le service génère une URL trompeuse qui imite visuellement le domaine légitime.

Exemple d'attaque

Pour cibler les utilisateurs de Microsoft, une URL de phishing pourrait ressembler à : login.microsoft.com@[URL malveillante/raccourcie]. Le symbole @ dans l'URL est exploité ici : tout ce qui précède le @ est considéré comme des données de nom d'utilisateur, tandis que la page de destination réelle est ce qui suit le symbole. Dans cet exemple, la page malveillante se termine par .ru, indiquant une origine suspecte.

Fonctionnalités avancées de Starkiller

Selon une analyse menée par la société de cybersécurité Abnormal AI, Starkiller offre plusieurs fonctionnalités sophistiquées :

• Interception en temps réel : Le service utilise un conteneur Docker exécutant une instance de navigateur Chrome en mode headless pour charger la page de connexion réelle. Il agit comme un proxy inverse, transmettant les entrées de l'utilisateur au site légitime et renvoyant ses réponses.
• Enregistrement des frappes clavier : Chaque frappe, soumission de formulaire et jeton de session est enregistré via l'infrastructure contrôlée par l'attaquant.
• Surveillance des sessions : Les opérateurs de Starkiller peuvent diffuser en direct l'écran de la victime pendant qu'elle interagit avec la page de phishing.
• Vol de cookies et jetons de session : Permet une prise de contrôle directe du compte.
• Géolocalisation des cibles : Permet de suivre l'emplacement des victimes.
• Alertes automatisées : Envoi d'alertes via Telegram dès qu'un nouvel identifiant est saisi.
• Tableau de bord analytique : Fournit des métriques comme le nombre de visites, les taux de conversion et des graphiques de performance, similaires à ceux d'une plateforme SaaS légitime.

« Le conteneur agit comme un proxy inverse de type man-in-the-middle, transmettant les entrées de l'utilisateur final vers le site légitime et renvoyant les réponses du site. Chaque frappe, soumission de formulaire et jeton de session passe par l'infrastructure contrôlée par l'attaquant et est enregistré en cours de route. »

Un outil redoutable pour les cybercriminels

Starkiller simplifie considérablement le processus de phishing en automatisant les tâches techniques complexes. Les opérateurs du service peuvent ainsi se concentrer sur l'élaboration de campagnes ciblées, tandis que l'outil gère l'infrastructure technique. De plus, la capacité à intercepter les codes MFA rend les attaques encore plus dangereuses, car elles contournent une couche majeure de sécurité.

Les entreprises et les utilisateurs doivent rester vigilants face à ces nouvelles méthodes de phishing. La vigilance et l'utilisation de solutions de sécurité avancées restent essentielles pour se protéger contre ces attaques sophistiquées.