뉴스로 돌아가기
연구낮음

스탈킬러 피싱 서비스, 실시간 프록시 공격으로 MFA 무력화

3분 읽기출처: Krebs on Security
Diagram of Starkiller phishing service workflow showing real-time proxy attack on MFA-protected login page

스탈킬러(PhaaS) 플랫폼이 실시간 프록시 기술을 활용해 MFA와 전통적인 피싱 방어를 우회하는 방법과 기업 대응 전략을 분석합니다.

은밀한 피싱 서비스, 실제 로그인 페이지를 활용해 탐지 회피

새로운 피싱-애즈-어-서비스(PhaaS) 플랫폼인 **스탈킬러(Starkiller)**는 사이버 범죄자들이 **다중 인증(MFA)**과 전통적인 피싱 방어를 우회할 수 있도록 지원합니다. 마이크로소프트, 구글, 애플과 같은 주요 브랜드의 실제 로그인 페이지를 프록시로 활용해 **중간자 공격(MITM reverse proxy)**을 수행하며, 자격 증명, 세션 토큰, MFA 코드를 실시간으로 탈취합니다. 정적 피싱 킷과 달리 스탈킬러는 동적으로 실 인증 포털을 로드해 도메인 차단 및 정적 페이지 분석과 같은 탐지 기법을 회피합니다.

Abnormal AI의 분석에 따르면, 스탈킬러는 피싱 인프라의 중요한 진화를 대표하며, 공격자의 기술적 장벽을 낮추면서도 탐지를 회피하는 효과를 제공합니다.

기술 분석: 스탈킬러의 작동 방식

스탈킬러의 핵심 기능은 기만적 URL실시간 프록시를 활용해 피해자가 합법적인 서비스에 인증하는 것처럼 속이면서, 자격 증명을 공격자에게 전송하도록 유도합니다. 주요 기술적 특징은 다음과 같습니다:

  • URL 마스킹: 피싱 링크가 합법적인 도메인처럼 보이도록 합니다(예: login.microsoft.com@[악성-도메인]). URL의 @ 기호를 악용해 앞부분을 사용자 데이터로 처리하고, 트래픽을 공격자가 제어하는 도메인으로 라우팅합니다.
  • 도커 기반 리버스 프록시: 서비스는 헤드리스 Chrome 브라우저 인스턴스를 도커 컨테이너에서 실행해 대상 브랜드의 실제 로그인 페이지를 로드합니다. 이러한 컨테이너는 MITM 프록시 역할을 수행하며, 피해자의 입력(사용자 이름, 비밀번호, MFA 코드)을 합법적인 사이트로 전달하는 동시에 모든 데이터를 로깅합니다.
  • 실시간 세션 하이재킹: 스탈킬러는 인증 중에 세션 쿠키와 토큰을 캡처해 공격자에게 지속적인 계정 접근 권한을 부여하며, MFA 인증 후에도 계정을 장악할 수 있습니다.
  • 키로깅 및 화면 모니터링: 플랫폼은 모든 키 입력 기록과 피해자의 피싱 페이지 상호작용을 실시간으로 스트리밍해 공격자가 행동을 관찰할 수 있도록 합니다.
  • 자동 텔레그램 알림: 운영자는 새로운 자격 증명이 수집될 때 즉시 알림을 받고, 캠페인 분석(예: 방문자 수, 전환율)을 확인할 수 있습니다.

Abnormal AI 연구원 Callie BaronPiotr Wojtyla는 스탈킬러가 MFA 토큰을 실시간으로 릴레이하는 기능이 MFA 보호를 무력화한다고 지적했습니다. 이는 피해자의 인증 흐름이 합법적인 서비스에 원활하게 미러링되기 때문입니다.

영향 및 위협 환경

스탈킬러는 사이버 범죄 그룹 Jinkusu에 의해 운영되며, 고객들이 기술 토론과 기능 요청을 할 수 있는 사용자 포럼을 제공합니다. 이 서비스는 다음과 같은 추가 기능을 포함합니다:

  • 연락처 수집: 손상된 세션에서 이메일 주소와 개인 데이터를 추출해 후속 공격의 타겟 목록을 구축합니다.
  • 지리적 추적: 피해자의 위치를 모니터링해 피싱 캠페인을 맞춤화합니다.
  • 주문형 기능: URL 단축, 링크 구성, 분석 대시보드 등 맞춤형 옵션을 제공합니다.

이 플랫폼의 기업형 설계는 상용화된 사이버 범죄 도구의 광범위한 추세를 반영합니다. 공격자가 피싱 도메인이나 정적 페이지 템플릿을 관리할 필요가 없어짐에 따라, 스탈킬러는 저숙련 사이버 범죄자들에게도 진입 장벽을 크게 낮추고 있습니다.

대응 및 권장 조치

보안 팀은 스탈킬러와 유사한 프록시 기반 피싱 공격에 대응하기 위해 다음 방어를 우선시해야 합니다:

  • 사용자 교육: 직원이 URL, 특히 @ 기호가 포함된 URL이나 비정상적인 도메인 구조를 주의 깊게 검토하도록 교육합니다. MFA가 실시간 프록시 공격에 대해 완벽한 보호 수단이 아님을 강조합니다.
  • 고급 이메일 필터링: 호몰로그 공격(예: rnicrosoft.com vs. microsoft.com)과 악성 링크 난독화를 탐지할 수 있는 솔루션을 배포합니다.
  • 행동 분석: 동시 로그인, 비정상적인 위치에서의 접근, 이상한 세션 지속 시간 등 비정상적인 인증 패턴을 모니터링합니다.
  • FIDO2/WebAuthn: 하드웨어 기반 MFA(예: YubiKey) 도입을 장려하며, 이는 피싱 및 MITM 공격에 저항력이 있습니다.
  • 세션 모니터링: 악성 IP에서 발생하거나 비정상적인 활동을 보이는 세션을 탐지하고 종료하는 도구를 구현합니다.
  • 위협 인텔리전스: 신흥 PhaaS 플랫폼과 사이버 범죄 포럼을 추적하는 피드에 가입해 진화하는 전술을 파악합니다.

결론

스탈킬러는 실시간 프록시, MFA 우회, 기업급 도구를 결합한 정교한 피싱-애즈-어-서비스 플랫폼의 성장을 보여줍니다. 사이버 범죄자들이 이러한 기술을 계속 발전시키는 가운데, 조직은 자격 증명 탈취와 계정 탈취 공격의 변화하는 환경에 대응하기 위해 방어를 적응시켜야 합니다.

공유

TwitterLinkedIn