Um novo serviço de phishing chamado Starkiller está revolucionando a forma como ataques cibernéticos são conduzidos, permitindo que criminosos contornem medidas de segurança como a autenticação multifator (MFA). De acordo com informações do Krebs Security, o Starkiller utiliza links disfarçados para carregar o site real da marca alvo, atuando como um intermediário entre a vítima e o site legítimo, capturando dados como nome de usuário, senha e código MFA.
Como o Starkiller opera?
O Starkiller permite que seus clientes escolham uma marca para imitar, como Apple ou Microsoft, e gera um URL enganoso que imita o domínio legítimo. Esse link redireciona o tráfego através da infraestrutura do atacante. Por exemplo, um link de phishing para usuários da Microsoft pode aparecer como “login.microsoft.com@[URL maliciosa]”. O serviço utiliza um contêiner Docker executando um navegador Chrome sem interface gráfica para carregar a página de login real, agindo como um proxy reverso que encaminha as entradas do usuário para o site legítimo e retorna as respostas.
Quais são as funcionalidades do Starkiller?
O Starkiller oferece monitoramento de sessão em tempo real, permitindo que os criminosos assistam a tela da vítima enquanto ela interage com a página de phishing. O serviço também captura cada tecla digitada, rouba cookies e tokens de sessão para assumir contas diretamente, e envia alertas automáticos via Telegram quando novas credenciais são capturadas. Além disso, o Starkiller fornece análises de campanha com contagem de visitas, taxas de conversão e gráficos de desempenho, semelhante a plataformas legítimas de software como serviço (SaaS).
Quais são os riscos e implicações?
O Starkiller representa uma evolução notável no phishing, reduzindo significativamente a barreira de entrada para criminosos cibernéticos novatos. A capacidade de interceptar e retransmitir credenciais MFA em tempo real significa que as proteções MFA podem ser efetivamente neutralizadas. O serviço é parte de um conjunto de ferramentas oferecidas por um grupo de ameaça chamado Jinkusu, que também mantém um fórum ativo para discussão de técnicas e resolução de problemas.
Os pesquisadores da Abnormal AI destacam que o Starkiller reflete uma tendência mais ampla em direção à criminalidade cibernética estilo empresarial, oferecendo ferramentas sofisticadas a criminosos de baixo nível de habilidade.
Fonte original: Krebs Security.
