Starkiller 钓鱼即服务平台利用实时代理攻击绕过 MFA

隐蔽的钓鱼服务利用真实登录页面规避检测

一个名为 Starkiller 的新型钓鱼即服务（PhaaS）平台正在帮助网络犯罪分子绕过多因素认证（MFA）和传统钓鱼防御机制。该平台通过代理微软、谷歌和苹果等知名品牌的真实登录页面，动态加载实时认证门户，充当中间人（MITM）反向代理，实时拦截凭据、会话令牌和 MFA 代码。与静态钓鱼工具包不同，Starkiller 能够有效规避域名黑名单和静态页面分析等检测手段。

该平台由 Abnormal AI 发现并分析，代表了钓鱼基础设施的重大演进，降低了攻击者的技术门槛，同时提高了攻击隐蔽性。

技术解析：Starkiller 的运作机制

Starkiller 的核心功能依赖于欺骗性 URL 和实时代理技术，诱骗受害者在合法服务上进行认证，同时在不知情的情况下将凭据传输给攻击者。其主要技术特性包括：

• URL 伪装：钓鱼链接通过利用 URL 中的 @ 符号（例如 login.microsoft.com@[恶意域名]），使链接看似合法域名，但实际流量被路由至攻击者控制的域名。
• 基于 Docker 的反向代理：该服务在 Docker 容器中启动无头 Chrome 浏览器实例，加载目标品牌的真实登录页面。这些容器充当 MITM 代理，将受害者输入（用户名、密码、MFA 代码）转发至合法网站，同时记录所有数据。
• 实时会话劫持：Starkiller 在认证过程中捕获会话 Cookie 和令牌，使攻击者即使在 MFA 验证后仍能持续访问被盗账户。
• 键盘记录与屏幕监控：该平台记录每次击键并实时流式传输受害者与钓鱼页面的交互行为，使攻击者能够实时观察受害者操作。
• 自动化 Telegram 提醒：运营者在新凭据被收集时会收到即时通知，同时提供活动分析（如访问次数、转化率等）。

Abnormal AI 研究员 Callie Baron 和 Piotr Wojtyla 指出，Starkiller 能够实时中继 MFA 令牌，有效中和 MFA 保护机制，因为受害者的认证流程被无缝镜像至合法服务。

影响与威胁态势

Starkiller 由网络犯罪组织 Jinkusu 运营，该组织通过用户论坛为客户提供技术讨论和功能定制服务。该平台还具备以下附加功能：

• 联系人收割：从被盗会话中提取电子邮件地址和个人数据，构建后续攻击的目标列表。
• 地理位置跟踪：监控受害者位置，以定制钓鱼活动。
• 定制化功能：提供 URL 缩短、链接配置和分析仪表板等可定制选项。

该平台的企业级设计（包括性能指标和客户支持）反映了商品化网络犯罪工具的发展趋势。通过消除攻击者管理钓鱼域名或静态页面模板的需求，Starkiller 显著降低了低技能网络犯罪分子的入门门槛。

缓解措施与建议

安全团队应优先采取以下防御措施，以应对 Starkiller 及类似基于代理的钓鱼攻击：

• 用户培训：教育员工仔细检查 URL，特别是包含 @ 符号或异常域名结构的链接。强调 MFA 无法完全防御实时代理攻击。
• 高级电子邮件过滤：部署能够检测同形异义词攻击（如 rnicrosoft.com 与 microsoft.com）和恶意链接混淆的解决方案。
• 行为分析：监控异常认证模式，如来自不同地点的同时登录或异常会话时长。
• FIDO2/WebAuthn：鼓励采用基于硬件的 MFA（如 YubiKey），该技术能够抵御钓鱼和 MITM 攻击。
• 会话监控：实施工具检测并终止可疑会话，如来自已知恶意 IP 或表现异常的会话。
• 威胁情报：订阅跟踪新兴 PhaaS 平台和网络犯罪论坛的情报源，以应对不断演变的攻击手法。

结论

Starkiller 体现了钓鱼即服务的日益复杂化，结合实时代理、MFA 绕过和企业级工具，构成了强大的威胁。随着网络犯罪分子不断完善这些技术，组织必须调整防御策略，以应对凭据盗窃和账户接管攻击的不断变化。