Новая угроза: сервис Starkiller обходит защиту от фишинга с помощью проксирования реальных страниц входа

Традиционные фишинговые страницы — это статичные копии форм входа известных сервисов, которые быстро блокируются антивирусными компаниями и специалистами по кибербезопасности. Однако новый сервис Starkiller, позиционируемый как «фишинг-as-a-service», предлагает принципиально иной подход: он подменяет ссылки, загружая на них оригинальные страницы целевых брендов, и выступает в роли посредника между жертвой и легитимным сайтом.

В отличие от стандартных фишинговых наборов, которые требуют от злоумышленников навыков настройки серверов, доменов и сертификатов, Starkiller автоматизирует этот процесс. По данным компании Abnormal AI, сервис позволяет выбирать целевой бренд (например, Apple, Facebook, Google или Microsoft) и генерирует поддельный URL, визуально имитирующий легитимный домен, но перенаправляющий трафик через инфраструктуру атакующего.

Пример: фишинговая ссылка для пользователей Microsoft может выглядеть так: login.microsoft.com@[malicious/shortened URL]. В этом случае всё, что находится до символа «@», воспринимается браузером как имя пользователя, а реальная цель — часть после «@».

Как работает Starkiller:

• После выбора целевого URL сервис разворачивает Docker-контейнер с браузером Chrome в фоновом режиме.
• Контейнер загружает оригинальную страницу входа и выполняет роль обратного прокси-сервера.
• Все действия жертвы — ввод логина, пароля, кодов MFA, нажатия клавиш — передаются через инфраструктуру злоумышленника и записываются.
• Атакующие получают доступ к сессионным токенам, файлам cookie и могут наблюдать за экраном жертвы в реальном времени.

По словам исследователей Abnormal AI Кэлли Барон и Петра Войтылы, сервис также поддерживает:

• Перехват и передачу кодов многофакторной аутентификации (MFA).
• Геолокацию жертв.
• Автоматическое оповещение в Telegram при получении новых учётных данных.
• Аналитику кампаний: количество посещений, конверсии и графики производительности.

Таким образом, Starkiller предоставляет мошенникам полный контроль над сессией жертвы, включая возможность кражи аккаунтов в реальном времени. Эксперты отмечают, что сервис сочетает в себе возможности фишинговых атак, кейлоггеров и инструментов для кражи сессий, что делает его крайне опасным для пользователей.