Die meisten Phishing-Websites sind einfache Kopien von Login-Seiten und werden schnell abgeschaltet. **Starkiller** bietet jedoch eine heimliche Alternative, die es Angreifern ermöglicht, diese Fallstricke zu umgehen, indem sie geschickt getarnte Links verwenden, um die echte Website der Zielmarke zu laden. Sie fungiert dann als Relay, leitet die Anmeldedaten des Opfers an die legitime Seite weiter und gibt deren Antworten zurück. ### Starkiller: Phishing leicht gemacht Obwohl es zahlreiche Phishing-Kits gibt, erfordern diese oft technische Fähigkeiten zur Konfiguration von Servern, Domainnamen und Proxy-Diensten. **Starkiller** vereinfacht diesen Prozess, indem es dynamisch eine Live-Kopie der echten Login-Seite lädt und alles aufzeichnet, was der Benutzer eingibt, und die Daten von der legitimen Seite zurück an das Opfer weiterleitet. Laut **Abnormal AI** können Kunden von **Starkiller** eine Marke auswählen, die sie nachahmen möchten (z. B. **Apple**, **Facebook**, **Google**, **Microsoft**), und eine täuschende URL generieren, die die legitime Domain nachahmt, während der Datenverkehr über die Infrastruktur des Angreifers geleitet wird. Beispielsweise könnte ein Phishing-Link, der sich an **Microsoft**-Kunden richtet, wie folgt aussehen: "login.microsoft.com@[hier bösartiger/verkürzter URL]". Das "@"-Zeichen lässt Benutzer glauben, dass die davor stehende Domain ein Benutzername ist, während die eigentliche Landingpage das ist, was folgt.  ### Man-in-the-Middle-Angriff Sobald die **Starkiller**-Kunden die URL ausgewählt haben, startet der Dienst einen [Docker-Container](https://www.docker.com/resources/what-container/), der eine [headless Chrome-Browser-Instanz](https://developer.chrome.com/docs/chromium/headless) ausführt, die die echte Login-Seite lädt, so **Abnormal**. "Der Container fungiert dann als Man-in-the-Middle-Reverse-Proxy, der die Eingaben des Endbenutzers an die legitime Seite weiterleitet und die Antworten der Seite zurückgibt", schrieben die **Abnormal**-Forscher **Callie Baron** und **Piotr Wojtyla** in [einem Blogbeitrag](https://abnormal.ai/blog/starkiller-phishing-kit). "Jeder Tastendruck, jede Formularübermittlung und jeder Sitzungstoken durchläuft die vom Angreifer kontrollierte Infrastruktur und wird dabei protokolliert." **Starkiller** bietet Cyberkriminellen eine Echtzeit-Überwachung von Sitzungen, die es ihnen ermöglicht, den Bildschirm des Ziels live zu streamen, während es mit der Phishing-Seite interagiert. "Die Plattform umfasst auch die Erfassung von Tastatureingaben für jeden Tastendruck, den Diebstahl von Cookies und Sitzungstoken für die direkte Übernahme von Konten, Geo-Tracking von Zielen und automatisierte **Telegram**-Benachrichtigungen, wenn neue Anmeldedaten eingehen", schrieben sie. "Kampagnenanalysen runden das Betreibererlebnis mit Besuchsanzahlen, Konversionsraten und Leistungsdiagrammen ab – die gleiche Art von Metrik-Dashboard, die eine legitime SaaS [Software-as-a-Service]-Plattform bieten würde." ### Umgehung von MFA **Abnormal** stellt fest, dass der Dienst die MFA-Anmeldedaten des Opfers abfängt und weiterleitet, da der Empfänger über einen Proxy mit der echten Seite authentifiziert wird. Alle übermittelten Authentifizierungstoken werden in Echtzeit an den legitimen Dienst weitergeleitet. "Der Angreifer erfasst die resultierenden Sitzungscookies und Token, was ihm authentifizierten Zugriff auf das Konto verschafft", schrieben die Forscher. "Wenn Angreifer den gesamten Authentifizierungsfluss in Echtzeit weiterleiten, können MFA-Schutzmaßnahmen effektiv neutralisiert werden, obwohl sie genau wie vorgesehen funktionieren."  ### Jinkusu: Die Bedrohungsgruppe hinter Starkiller **Starkiller** ist Teil einer Suite von Cybercrime-Diensten, die von der Bedrohungsgruppe **Jinkusu** angeboten werden, die ein aktives Benutzerforum betreibt, in dem Kunden Techniken diskutieren, Funktionen anfordern und Bereitstellungen beheben können. Eine Funktion sammelt E-Mail-Adressen und Kontaktinformationen aus kompromittierten Sitzungen, um Ziellisten für nachfolgende Phishing-Kampagnen zu erstellen. Dieser Dienst stellt eine bedeutende Weiterentwicklung im Phishing dar, senkt die Eintrittsbarriere für unerfahrene Cyberkriminelle und umgeht traditionelle Erkennungsmethoden wie Domain-Blocklisting und statische Seitenanalyse. "Starkiller stellt eine erhebliche Eskalation der Phishing-Infrastruktur dar und spiegelt einen breiteren Trend hin zu kommodifizierten, unternehmensähnlichen Cybercrime-Tools wider", schließt ihr Bericht. "In Kombination mit URL-Maskierung, Session-Hijacking und MFA-Umgehung erhalten Cyberkriminelle mit geringen Fähigkeiten Zugang zu Angriffsmöglichkeiten, die zuvor unerreichbar waren."