VOLTAR ÀS NOTÍCIAS
PesquisaBaixo

Starkiller: Serviço de Phishing como Serviço Burla MFA com Ataques de Proxy em Tempo Real

4 min de leituraFonte: Krebs on Security
Diagram of Starkiller phishing service workflow showing real-time proxy attack on MFA-protected login page

Plataforma Starkiller usa proxies reversos para interceptar credenciais e tokens MFA em tempo real, desafiando defesas tradicionais de phishing. Saiba como se proteger.

Serviço de Phishing Furtivo Usa Páginas de Login Reais para Evitar Detecção

Uma nova e sofisticada plataforma de phishing-as-a-service (PhaaS) chamada Starkiller está permitindo que cibercriminosos burlem a autenticação multifator (MFA) e as defesas tradicionais de phishing ao atuar como proxy de páginas de login reais de grandes marcas como Microsoft, Google e Apple. Diferente dos kits de phishing estáticos, o Starkiller carrega dinamicamente portais de autenticação ao vivo, funcionando como um proxy reverso man-in-the-middle (MITM) para interceptar credenciais, tokens de sessão e códigos MFA em tempo real.

Descoberto e analisado pela Abnormal AI, o Starkiller representa uma evolução significativa na infraestrutura de phishing, reduzindo a barreira técnica para atacantes enquanto evita métodos de detecção como bloqueio de domínios e análise estática de páginas.

Análise Técnica: Como o Starkiller Opera

A funcionalidade principal do Starkiller baseia-se em URLs enganosas e proxy em tempo real para induzir vítimas a se autenticarem em serviços legítimos enquanto, sem saber, transmitem suas credenciais para os atacantes. As principais características técnicas incluem:

  • Mascaramento de URL: Links de phishing aparecem como domínios legítimos (ex.: login.microsoft.com@[domínio-malicioso]) ao explorar o símbolo @ em URLs, que trata o texto precedente como dados de usuário e redireciona o tráfego para o domínio controlado pelo atacante.
  • Proxy Reverso Baseado em Docker: O serviço inicia instâncias headless do navegador Chrome em contêineres Docker para carregar a página de login real da marca alvo. Esses contêineres atuam como proxies MITM, encaminhando as entradas das vítimas (nomes de usuário, senhas, códigos MFA) para o site legítimo enquanto registram todos os dados.
  • Sequestro de Sessão em Tempo Real: O Starkiller captura cookies de sessão e tokens durante a autenticação, concedendo aos atacantes acesso persistente a contas comprometidas mesmo após a verificação do MFA.
  • Keylogging e Monitoramento de Tela: A plataforma registra cada tecla pressionada e transmite ao vivo a interação da vítima com a página de phishing, permitindo que os atacantes observem o comportamento em tempo real.
  • Alertas Automatizados via Telegram: Os operadores recebem notificações instantâneas quando novas credenciais são coletadas, juntamente com análises de campanha (ex.: contagem de visitas, taxas de conversão).

Os pesquisadores da Abnormal AI Callie Baron e Piotr Wojtyla observaram que a capacidade do Starkiller de retransmitir tokens MFA em tempo real neutraliza efetivamente as proteções do MFA, uma vez que o fluxo de autenticação da vítima é espelhado de forma transparente para o serviço legítimo.

Impacto e Panorama de Ameaças

O Starkiller é comercializado pelo grupo cibercriminoso Jinkusu, que opera um fórum para clientes discutirem técnicas e solicitarem funcionalidades. O serviço inclui capacidades adicionais, como:

  • Coleta de Contatos: Extração de endereços de e-mail e dados pessoais de sessões comprometidas para construir listas de alvos para ataques subsequentes.
  • Geolocalização: Monitoramento da localização das vítimas para personalizar campanhas de phishing.
  • Funcionalidades Sob Demanda: Opções personalizáveis para encurtamento de URLs, configuração de links e painéis de análise.

O design semelhante ao de uma empresa — completo com métricas de desempenho e suporte ao cliente — reflete uma tendência mais ampla em direção à ferramentalização commoditizada do cibercrime. Ao eliminar a necessidade de os atacantes gerenciarem domínios de phishing ou modelos de páginas estáticas, o Starkiller reduz significativamente a barreira de entrada para cibercriminosos com baixa qualificação técnica.

Mitigação e Recomendações

As equipes de segurança devem priorizar as seguintes defesas para combater o Starkiller e ataques de phishing baseados em proxy semelhantes:

  • Treinamento de Usuários: Eduque os funcionários a examinarem URLs com atenção, especialmente aqueles que contêm símbolos @ ou estruturas de domínio incomuns. Enfatize que o MFA não é infalível contra ataques de proxy em tempo real.
  • Filtragem Avançada de E-mails: Implemente soluções capazes de detectar ataques homógrafos (ex.: rnicrosoft.com vs. microsoft.com) e ofuscação de links maliciosos.
  • Análise Comportamental: Monitore padrões de autenticação anômalos, como logins simultâneos de locais distintos ou durações de sessão incomuns.
  • FIDO2/WebAuthn: Incentive a adoção de MFA baseado em hardware (ex.: YubiKeys), que é resistente a phishing e ataques MITM.
  • Monitoramento de Sessão: Implemente ferramentas para detectar e encerrar sessões suspeitas, como aquelas originadas de IPs maliciosos conhecidos ou que exibam atividade incomum.
  • Inteligência de Ameaças: Assine feeds que acompanham plataformas emergentes de PhaaS e fóruns de cibercriminosos para se manter à frente de táticas em evolução.

Conclusão

O Starkiller exemplifica a crescente sofisticação das ofertas de phishing-as-a-service, combinando proxy em tempo real, bypass de MFA e ferramentas de nível empresarial para criar uma ameaça potente. À medida que os cibercriminosos continuam a refinar essas técnicas, as organizações devem adaptar suas defesas para enfrentar o cenário em mudança de roubo de credenciais e ataques de sequestro de contas.

Compartilhar

TwitterLinkedIn