Starkiller: Phishing como Servicio Elude la MFA con Ataques de Proxy en Tiempo Real

Servicio de Phishing Sigiloso Utiliza Páginas de Inicio Reales para Evadir Detección

Una nueva y sofisticada plataforma de phishing como servicio (PhaaS), denominada Starkiller, está permitiendo a ciberdelincuentes eludir la autenticación multifactor (MFA) y las defensas tradicionales contra phishing mediante el uso de proxies de páginas de inicio reales de marcas importantes como Microsoft, Google y Apple. A diferencia de los kits de phishing estáticos, Starkiller carga dinámicamente portales de autenticación en vivo, actuando como un proxy inverso de intermediario (MITM) para interceptar credenciales, tokens de sesión y códigos MFA en tiempo real.

Descubierta y analizada por Abnormal AI, Starkiller representa una evolución significativa en la infraestructura de phishing, reduciendo la barrera técnica para los atacantes mientras evade métodos de detección como el bloqueo de dominios y el análisis de páginas estáticas.

Desglose Técnico: Cómo Opera Starkiller

La funcionalidad central de Starkiller se basa en URLs engañosas y proxies en tiempo real para engañar a las víctimas y hacer que se autentiquen con servicios legítimos mientras transmiten, sin saberlo, sus credenciales a los atacantes. Entre sus características técnicas clave se incluyen:

• Enmascaramiento de URLs: Los enlaces de phishing aparecen como dominios legítimos (ej. login.microsoft.com@[dominio-malicioso]) explotando el símbolo @ en las URLs, que trata el texto precedente como datos de usuario y redirige el tráfico al dominio controlado por el atacante.
• Proxy Inverso Basado en Docker: El servicio despliega instancias de navegador Chrome sin cabeza en contenedores Docker para cargar la página de inicio real de la marca objetivo. Estos contenedores actúan como proxies MITM, reenviando las entradas de la víctima (nombres de usuario, contraseñas, códigos MFA) al sitio legítimo mientras registran todos los datos.
• Secuestro de Sesión en Tiempo Real: Starkiller captura cookies de sesión y tokens durante la autenticación, otorgando a los atacantes acceso persistente a cuentas comprometidas incluso después de la verificación MFA.
• Registros de Teclas y Monitoreo de Pantalla: La plataforma registra cada pulsación de tecla y transmite en vivo la interacción de la víctima con la página de phishing, permitiendo a los atacantes observar el comportamiento en tiempo real.
• Alertas Automáticas en Telegram: Los operadores reciben notificaciones instantáneas cuando se recolectan nuevas credenciales, junto con análisis de campañas (ej. conteos de visitas, tasas de conversión).

Los investigadores de Abnormal AI, Callie Baron y Piotr Wojtyla, señalaron que la capacidad de Starkiller para retransmitir tokens MFA en tiempo real neutraliza efectivamente las protecciones MFA, ya que el flujo de autenticación de la víctima se refleja sin problemas en el servicio legítimo.

Impacto y Panorama de Amenazas

Starkiller es comercializado por el grupo ciberdelincuente Jinkusu, que opera un foro de usuarios donde los clientes discuten técnicas y solicitan características. El servicio incluye capacidades adicionales como:

• Recolección de Contactos: Extracción de direcciones de correo electrónico y datos personales de sesiones comprometidas para construir listas de objetivos en ataques posteriores.
• Geolocalización: Monitoreo de la ubicación de las víctimas para personalizar campañas de phishing.
• Características a la Carta: Opciones personalizables para acortamiento de URLs, configuración de enlaces y paneles de análisis.

El diseño similar a una empresa de la plataforma —que incluye métricas de rendimiento y soporte al cliente— refleja una tendencia más amplia hacia el cibercrimen como herramienta comercializada. Al eliminar la necesidad de que los atacantes gestionen dominios de phishing o plantillas de páginas estáticas, Starkiller reduce significativamente la barrera de entrada para ciberdelincuentes con bajas habilidades técnicas.

Mitigación y Recomendaciones

Los equipos de seguridad deben priorizar las siguientes defensas para contrarrestar a Starkiller y ataques de phishing similares basados en proxies:

• Capacitación de Usuarios: Educar a los empleados para que examinen cuidadosamente las URLs, especialmente aquellas que contienen símbolos @ o estructuras de dominio inusuales. Enfatizar que la MFA no es infalible contra ataques de proxy en tiempo real.
• Filtrado Avanzado de Correos: Implementar soluciones capaces de detectar ataques homógrafos (ej. rnicrosoft.com vs. microsoft.com) y ofuscación de enlaces maliciosos.
• Análisis de Comportamiento: Monitorear patrones de autenticación anómalos, como inicios de sesión simultáneos desde ubicaciones dispares o duraciones de sesión inusuales.
• FIDO2/WebAuthn: Fomentar la adopción de MFA basada en hardware (ej. YubiKeys), que es resistente al phishing y a los ataques MITM.
• Monitoreo de Sesiones: Implementar herramientas para detectar y terminar sesiones sospechosas, como aquellas originadas desde IPs maliciosas conocidas o que exhiben actividad inusual.
• Inteligencia de Amenazas: Suscribirse a fuentes que rastreen plataformas emergentes de PhaaS y foros de ciberdelincuentes para mantenerse al tanto de tácticas en evolución.

Conclusión

Starkiller ejemplifica la creciente sofisticación de las ofertas de phishing como servicio, combinando proxies en tiempo real, elusión de MFA y herramientas de nivel empresarial para crear una amenaza potente. A medida que los ciberdelincuentes continúan refinando estas técnicas, las organizaciones deben adaptar sus defensas para abordar el cambiante panorama del robo de credenciales y los ataques de toma de control de cuentas.