НАЗАД К НОВОСТЯМ
ИсследованияНизкий

Starkiller: Фишинг-как-услуга обходит MFA с помощью атак через прокси в реальном времени

4 мин чтенияИсточник: Krebs on Security
Diagram of Starkiller phishing service workflow showing real-time proxy attack on MFA-protected login page

Новая фишинг-платформа Starkiller использует реальные страницы входа для обхода многофакторной аутентификации (MFA) и традиционных защит. Узнайте, как работает эта угроза и как защититься.

Фишинг-сервис нового поколения использует реальные страницы входа для обхода защиты

Новая фишинг-платформа как услуга (PhaaS) под названием Starkiller позволяет киберпреступникам обходить многофакторную аутентификацию (MFA) и традиционные средства защиты от фишинга, проксируя реальные страницы входа от таких брендов, как Microsoft, Google и Apple. В отличие от статичных фишинг-наборов, Starkiller динамически загружает действующие порталы аутентификации, выступая в роли обратного прокси «человек посередине» (MITM) для перехвата учетных данных, токенов сессий и кодов MFA в реальном времени.

Платформа была обнаружена и проанализирована компанией Abnormal AI. Starkiller представляет собой значительную эволюцию в инфраструктуре фишинга, снижая технический порог для злоумышленников и обходя методы обнаружения, такие как блокировка доменов и статический анализ страниц.

Технические особенности: как работает Starkiller

Основная функциональность Starkiller основана на обманных URL и проксировании в реальном времени, чтобы вводить жертв в заблуждение, заставляя их проходить аутентификацию на легитимных сервисах, одновременно передавая свои учетные данные злоумышленникам. Ключевые технические особенности включают:

  • Маскировка URL: Фишинговые ссылки выглядят как легитимные домены (например, login.microsoft.com@[вредоносный-домен]) благодаря эксплуатации символа @ в URL, который интерпретирует предшествующий текст как данные пользователя и перенаправляет трафик на домен, контролируемый злоумышленниками.
  • Обратный прокси на базе Docker: Сервис запускает экземпляры браузера Chrome в режиме без графического интерфейса в контейнерах Docker для загрузки реальной страницы входа целевого бренда. Эти контейнеры действуют как MITM-прокси, передавая введенные жертвой данные (имена пользователей, пароли, коды MFA) на легитимный сайт, одновременно сохраняя всю информацию.
  • Перехват сессий в реальном времени: Starkiller захватывает куки сессий и токены во время аутентификации, предоставляя злоумышленникам постоянный доступ к скомпрометированным аккаунтам даже после прохождения MFA.
  • Кейлоггинг и мониторинг экрана: Платформа записывает каждое нажатие клавиши и транслирует в реальном времени взаимодействие жертвы с фишинговой страницей, позволяя злоумышленникам наблюдать за поведением пользователя.
  • Автоматические уведомления в Telegram: Операторы получают мгновенные оповещения о сборе новых учетных данных, а также аналитику кампаний (например, количество посещений, коэффициент конверсии).

Исследователи Abnormal AI Калли Бэрон и Пётр Войтыла отметили, что способность Starkiller передавать токены MFA в реальном времени фактически нейтрализует защиту MFA, так как процесс аутентификации жертвы зеркально отображается на легитимном сервисе.

Влияние на ландшафт угроз

Starkiller продвигается киберпреступной группой Jinkusu, которая управляет пользовательским форумом, где клиенты могут обсуждать методы и запрашивать новые функции. Сервис включает дополнительные возможности, такие как:

  • Сбор контактов: Извлечение адресов электронной почты и личных данных из скомпрометированных сессий для создания списков целей для последующих атак.
  • Геотрекинг: Мониторинг местоположения жертв для адаптации фишинговых кампаний.
  • Индивидуальные функции: Настраиваемые опции для сокращения URL, конфигурации ссылок и аналитических панелей.

Корпоративный дизайн платформы — с метриками производительности и поддержкой клиентов — отражает общую тенденцию к коммодитизации инструментов киберпреступности. Устраняя необходимость для злоумышленников управлять фишинговыми доменами или статичными шаблонами страниц, Starkiller значительно снижает порог входа для киберпреступников с низкой квалификацией.

Рекомендации по защите

Командам безопасности следует уделить первоочередное внимание следующим мерам защиты от Starkiller и подобных фишинговых атак на основе прокси:

  • Обучение пользователей: Обучайте сотрудников внимательно проверять URL, особенно те, которые содержат символ @ или необычные структуры доменов. Подчеркните, что MFA не является абсолютной защитой от атак через прокси в реальном времени.
  • Расширенная фильтрация электронной почты: Внедрите решения, способные обнаруживать гомограф-атаки (например, rnicrosoft.com вместо microsoft.com) и обфускацию вредоносных ссылок.
  • Поведенческая аналитика: Отслеживайте аномальные шаблоны аутентификации, такие как одновременные входы из разных мест или необычная продолжительность сессий.
  • FIDO2/WebAuthn: Поощряйте использование аппаратной MFA (например, YubiKey), устойчивой к фишингу и MITM-атакам.
  • Мониторинг сессий: Внедрите инструменты для обнаружения и завершения подозрительных сессий, например, исходящих с известных вредоносных IP-адресов или демонстрирующих необычную активность.
  • Разведка угроз: Подпишитесь на каналы, отслеживающие новые PhaaS-платформы и форумы киберпреступников, чтобы оставаться в курсе развивающихся тактик.

Заключение

Starkiller демонстрирует растущую сложность предложений фишинг-как-услуга, сочетая проксирование в реальном времени, обход MFA и инструменты корпоративного уровня, создавая серьезную угрозу. По мере того как киберпреступники продолжают совершенствовать эти методы, организациям необходимо адаптировать свои средства защиты для противодействия изменяющемуся ландшафту кражи учетных данных и атак на захват аккаунтов.

Поделиться

TwitterLinkedIn