segurança digital cibersegurança ataques cibernéticos cibercrime phishing Starkiller autenticação multifator MFA phishing-as-a-service roubo de credenciais

Phishing avançado: Starkiller usa páginas reais e burla MFA

Sites de phishing tradicionais são cópias estáticas de páginas de login que, geralmente, são rapidamente derrubadas por empresas de segurança. No entanto, um novo serviço chamado Starkiller oferece uma abordagem mais sofisticada: ele carrega páginas reais de login de marcas populares e age como um proxy entre a vítima e o site legítimo.

Como o Starkiller funciona

O serviço permite que criminosos selecionem marcas para imitar, como Apple, Facebook, Google ou Microsoft, e gera URLs enganosos que se parecem com domínios legítimos. Por exemplo, um link falso para o Microsoft 365 pode aparecer como login.microsoft.com@[URL-maliciosa]. O caractere "@" faz com que o navegador ignore tudo antes dele, redirecionando para a página real após o "@".

Segundo a Abnormal AI, empresa que analisou o serviço, o Starkiller utiliza um contêiner Docker com uma instância do Chrome sem interface para carregar a página real de login. Essa infraestrutura age como um proxy reverso do tipo "man-in-the-middle", interceptando:

  • Cada tecla digitada pela vítima;
  • Envio de formulários;
  • Tokens de sessão e cookies;
  • Credenciais de autenticação multifator (MFA).

Recursos adicionais e monitoramento em tempo real

O Starkiller oferece ainda:

  • Keylogger integrado: captura todas as teclas digitadas;
  • Roubo de cookies e tokens: permite takeover imediato de contas;
  • Geolocalização de vítimas: rastreia a localização dos alvos;
  • Alertas via Telegram: notifica criminosos em tempo real sobre novas credenciais;
  • Dashboard de métricas: exibe taxas de conversão, visitas e gráficos de desempenho, semelhante a plataformas legítimas de SaaS.

"O contêiner age como um proxy reverso do tipo 'man-in-the-middle', encaminhando as entradas do usuário para o site legítimo e retornando suas respostas. Cada tecla, envio de formulário e token de sessão passa pela infraestrutura controlada pelo atacante e é registrado em tempo real."

Pesquisadores Callie Baron e Piotr Wojtyla, da Abnormal AI

Risco elevado para empresas e usuários

Por usar páginas reais e interceptar MFA, o Starkiller representa uma ameaça significativa. Diferente de kits de phishing tradicionais, que exigem configuração técnica avançada, essa ferramenta automatiza todo o processo, facilitando ataques mesmo para criminosos com menos conhecimento técnico.

A Abnormal AI alerta que o serviço já está sendo comercializado em fóruns clandestinos, com preços variando conforme os recursos. A empresa recomenda que usuários e empresas adotem medidas adicionais de segurança, como:

  • Verificação rigorosa de URLs antes de inserir credenciais;
  • Uso de autenticadores baseados em hardware (como YubiKey);
  • Monitoramento de atividades suspeitas em contas;
  • Treinamento de colaboradores para identificar tentativas de phishing avançado.

O Starkiller exemplifica como o phishing evoluiu de simples cópias de páginas para técnicas sofisticadas que exploram a confiança em plataformas legítimas.

Fonte: Krebs on Security
Dort: O mestre por trás do botnet Kimwolf e suas operações criminosas
Próximo →

Dort: O mestre por trás do botnet Kimwolf e suas operações criminosas