ZURÜCK ZU NACHRICHTEN
ForschungNiedrig

Starkiller: Phishing-as-a-Service umgeht MFA mit Echtzeit-Proxy-Angriffen

4 Min. LesezeitQuelle: Krebs on Security
Diagram of Starkiller phishing service workflow showing real-time proxy attack on MFA-protected login page

Die Phishing-as-a-Service-Plattform Starkiller nutzt Echtzeit-Proxy-Angriffe, um Multi-Faktor-Authentifizierung (MFA) zu umgehen. Erfahren Sie, wie Cyberkriminelle damit Anmeldedaten und Session-Tokens abfangen.

Heimlicher Phishing-Dienst nutzt echte Anmeldeseiten zur Umgehung von Erkennungssystemen

Eine hochentwickelte neue Phishing-as-a-Service (PhaaS)-Plattform namens Starkiller ermöglicht es Cyberkriminellen, Multi-Faktor-Authentifizierung (MFA) und traditionelle Phishing-Abwehrmechanismen zu umgehen, indem sie echte Anmeldeseiten von großen Marken wie Microsoft, Google und Apple als Man-in-the-Middle (MITM)-Reverse-Proxy nutzt. Im Gegensatz zu statischen Phishing-Kits lädt Starkiller dynamisch Live-Authentifizierungsportale und fängt dabei in Echtzeit Anmeldedaten, Session-Tokens und MFA-Codes ab.

Entdeckt und analysiert von Abnormal AI, stellt Starkiller eine bedeutende Weiterentwicklung der Phishing-Infrastruktur dar. Die Plattform senkt die technische Hürde für Angreifer und umgeht gleichzeitig Erkennungsmethoden wie Domain-Blocklists und statische Seitenanalysen.

Technische Analyse: Wie Starkiller funktioniert

Die Kernfunktionalität von Starkiller basiert auf täuschenden URLs und Echtzeit-Proxying, um Opfer dazu zu bringen, sich bei legitimen Diensten anzumelden, während ihre Anmeldedaten unbemerkt an die Angreifer übertragen werden. Zu den wichtigsten technischen Merkmalen gehören:

  • URL-Maskierung: Phishing-Links erscheinen als legitime Domains (z. B. login.microsoft.com@[bösartige-Domain]), indem das @-Symbol in URLs ausgenutzt wird. Dieses behandelt den vorangestellten Text als Benutzernamen und leitet den Traffic zur vom Angreifer kontrollierten Domain um.
  • Docker-basierter Reverse-Proxy: Der Dienst startet Headless-Chrome-Browser-Instanzen in Docker-Containern, um die echte Anmeldeseite der Zielmarke zu laden. Diese Container fungieren als MITM-Proxys, die Eingaben der Opfer (Benutzernamen, Passwörter, MFA-Codes) an die legitime Website weiterleiten, während alle Daten protokolliert werden.
  • Echtzeit-Session-Hijacking: Starkiller erfasst Session-Cookies und Tokens während der Authentifizierung und gewährt Angreifern damit dauerhaften Zugriff auf kompromittierte Konten – selbst nach erfolgreicher MFA-Verifizierung.
  • Keylogging und Bildschirmüberwachung: Die Plattform zeichnet jeden Tastendruck auf und streamt die Interaktion des Opfers mit der Phishing-Seite live, sodass Angreifer das Verhalten in Echtzeit beobachten können.
  • Automatisierte Telegram-Benachrichtigungen: Betreiber erhalten sofortige Benachrichtigungen, wenn neue Anmeldedaten erbeutet wurden, zusammen mit Kampagnenanalysen (z. B. Besucherzahlen, Konversionsraten).

Die Forscher von Abnormal AI, Callie Baron und Piotr Wojtyla, wiesen darauf hin, dass Starkillers Fähigkeit, MFA-Tokens in Echtzeit weiterzuleiten, MFA-Schutzmaßnahmen effektiv neutralisiert, da der Authentifizierungsprozess des Opfers nahtlos an den legitimen Dienst gespiegelt wird.

Auswirkungen und Bedrohungslandschaft

Starkiller wird von der Cyberkriminellen-Gruppe Jinkusu vermarktet, die ein Nutzerforum betreibt, in dem Kunden Techniken diskutieren und Funktionen anfordern können. Der Dienst umfasst zusätzliche Fähigkeiten wie:

  • Kontakt-Erfassung: Extrahieren von E-Mail-Adressen und persönlichen Daten aus kompromittierten Sessions, um Zielgruppen für Folgeangriffe aufzubauen.
  • Geo-Tracking: Überwachung des Standorts von Opfern, um Phishing-Kampagnen anzupassen.
  • A-la-Carte-Funktionen: Anpassbare Optionen für URL-Verkürzung, Link-Konfiguration und Analyse-Dashboards.

Das unternehmensähnliche Design der Plattform – inklusive Leistungsmetriken und Kundensupport – spiegelt einen breiteren Trend zur Kommodifizierung von Cyberkriminalitätstools wider. Durch die Beseitigung der Notwendigkeit, Phishing-Domains oder statische Seitentemplates zu verwalten, senkt Starkiller die Einstiegshürde für technisch weniger versierte Cyberkriminelle erheblich.

Abwehrmaßnahmen und Empfehlungen

Sicherheitsteams sollten folgende Maßnahmen priorisieren, um Starkiller und ähnliche Proxy-basierte Phishing-Angriffe zu bekämpfen:

  • Schulung der Mitarbeiter: Sensibilisierung für die Überprüfung von URLs, insbesondere solcher mit @-Symbolen oder ungewöhnlichen Domain-Strukturen. Betonen Sie, dass MFA nicht narrensicher gegen Echtzeit-Proxy-Angriffe ist.
  • Erweiterte E-Mail-Filterung: Einsatz von Lösungen, die Homograph-Angriffe (z. B. rnicrosoft.com vs. microsoft.com) und bösartige Link-Verschleierung erkennen können.
  • Verhaltensanalysen: Überwachung auf anomale Authentifizierungsmuster, wie gleichzeitige Anmeldungen von unterschiedlichen Standorten oder ungewöhnliche Session-Dauern.
  • FIDO2/WebAuthn: Förderung der Nutzung von Hardware-basierter MFA (z. B. YubiKeys), die gegen Phishing und MITM-Angriffe resistent ist.
  • Session-Überwachung: Implementierung von Tools zur Erkennung und Beendigung verdächtiger Sessions, z. B. solcher, die von bekannten bösartigen IPs stammen oder ungewöhnliche Aktivitäten aufweisen.
  • Threat Intelligence: Abonnieren von Feeds, die aufkommende PhaaS-Plattformen und Cyberkriminellen-Foren verfolgen, um über sich entwickelnde Taktiken auf dem Laufenden zu bleiben.

Fazit

Starkiller ist ein Beispiel für die zunehmende Professionalisierung von Phishing-as-a-Service-Angeboten. Durch die Kombination von Echtzeit-Proxying, MFA-Umgehung und unternehmensreifen Tools entsteht eine potente Bedrohung. Da Cyberkriminelle diese Techniken kontinuierlich verfeinern, müssen Organisationen ihre Abwehrstrategien anpassen, um der sich wandelnden Landschaft von Credential-Diebstahl und Account-Übernahmeangriffen zu begegnen.

Teilen

TwitterLinkedIn