Starkiller: Nowe zagrożenie w cyberprzestępczości – phishing z proxy i kradzieżą MFA

Phishing w nowej odsłonie: Starkiller omija tradycyjne zabezpieczenia

Większość stron phishingowych to statyczne kopie oryginalnych stron logowania, które szybko są wykrywane i blokowane przez aktywistów i firmy zajmujące się bezpieczeństwem. Jednak nowa usługa phishing-as-a-service o nazwie Starkiller wprowadza zupełnie nowy poziom zagrożenia. Pozwala ona cyberprzestępcom na omijanie tradycyjnych pułapek, wykorzystując zaawansowane techniki proxy i podszywania się pod zaufane marki.

Jak działa Starkiller? Mechanizm ataku krok po kroku

Starkiller generuje fałszywe linki, które wyglądają jak oryginalne adresy stron logowania (np. login.microsoft.com@[złośliwy_adres]). Wykorzystuje trik z symbolem „@”, który w adresach URL jest traktowany jako separator danych uwierzytelniających. W rezultacie ofiara trafia na fałszywą stronę, która jednak w rzeczywistości ładuje oryginalną stronę logowania.

Gdy użytkownik wprowadza swoje dane, są one przekazywane przez infrastrukturę atakującego do prawdziwej strony, a następnie zwracane do ofiary. W ten sposób cyberprzestępcy przechwytują nie tylko hasła, ale także kody uwierzytelniające MFA, co umożliwia im pełny dostęp do konta.

Zaawansowane funkcje podsłuchu i monitoringu

Według analizy przeprowadzonej przez firmę Abnormal AI, Starkiller oferuje szereg zaawansowanych funkcji:

• Rejestrowanie każdego naciśnięcia klawisza – keylogger przechwytuje wszystkie wprowadzane dane, w tym hasła i kody MFA.
• Kradzież ciasteczek i tokenów sesji – umożliwia bezpośrednie przejęcie konta bez potrzeby ponownego logowania.
• Śledzenie lokalizacji ofiary – atakujący mogą monitorować, skąd pochodzi ofiara.
• Powiadomienia w czasie rzeczywistym – alerty na Telegramie informują o nowych przechwyconych danych.
• Panel analityczny – podobny do dashboardów SaaS, pokazuje statystyki kampanii, wskaźniki konwersji i wykresy wydajności.

Techniczny mechanizm działania

Po wybraniu przez atakującego celu (np. Apple, Facebook, Google), Starkiller uruchamia kontener Docker z przeglądarką Chrome w trybie headless. Ta przeglądarka ładuje oryginalną stronę logowania, a następnie działa jako pośrednik typu „man-in-the-middle”.

Wszystkie dane wprowadzane przez ofiarę, w tym tokeny uwierzytelniające, są przekazywane przez infrastrukturę atakującego, a następnie zwracane do użytkownika. W ten sposób cyberprzestępcy mogą na bieżąco monitorować aktywność ofiary, a nawet streamować jej ekran w czasie rzeczywistym.

„Każde naciśnięcie klawisza, przesłanie formularza i token sesji przechodzi przez infrastrukturę kontrolowaną przez atakującego i jest rejestrowane w trakcie.”

Dlaczego Starkiller jest niebezpieczny?

Tradycyjne metody phishingowe często zawodzą, ponieważ:

• Statyczne strony phishingowe są szybko wykrywane i blokowane.
• Wymagają one zaawansowanej wiedzy technicznej do konfiguracji serwerów, domen i certyfikatów.
• Użytkownicy coraz częściej są świadomi zagrożeń i potrafią rozpoznać podejrzane linki.

Starkiller eliminuje te problemy, oferując gotowe rozwiązanie, które:

• Wygląda jak oryginalna strona logowania.
• Przechwytuje dane w czasie rzeczywistym, w tym kody MFA.
• Umożliwia atakującym pełny dostęp do konta bez konieczności ponownego logowania.

Jak się chronić przed atakami Starkiller?

Eksperci zalecają następujące kroki, aby zminimalizować ryzyko:

• Używaj menedżera haseł – uniemożliwia on automatyczne wypełnianie formularzy na podejrzanych stronach.
• Włącz weryfikację dwuetapową (MFA) zabezpieczoną fizycznym kluczem – np. YubiKey lub kluczem sprzętowym.
• Sprawdzaj adresy URL – zwracaj uwagę na podejrzane domeny, nawet jeśli wyglądają podobnie do oryginalnych.
• Monitoruj aktywność swoich kont – regularnie przeglądaj historię logowań i nietypowe działania.
• Edukuj pracowników i bliskich – phishing to nadal najczęstsza metoda ataków, dlatego świadomość jest kluczowa.

Podsumowanie: Nowa era phishingu

Starkiller to kolejny dowód na to, jak szybko rozwijają się techniki ataków cyberprzestępczych. Usługa ta nie tylko ułatwia przeprowadzanie ataków phishingowych, ale także zwiększa ich skuteczność dzięki wykorzystaniu oryginalnych stron logowania i przechwytywaniu kodów MFA.

Dla użytkowników oznacza to konieczność jeszcze większej czujności, a dla firm – wdrażanie bardziej zaawansowanych rozwiązań zabezpieczających, takich jak ochrona przed atakami typu „man-in-the-middle” i monitorowanie aktywności w czasie rzeczywistym.