La mayoría de los sitios web de phishing son copias simples de páginas de inicio de sesión y son eliminados rápidamente. Sin embargo, **Starkiller** ofrece una alternativa sigilosa, permitiendo a los atacantes evitar estas trampas utilizando enlaces inteligentemente disfrazados para cargar el sitio web real de la marca objetivo. Luego actúa como un relé, reenviando las credenciales de la víctima al sitio legítimo y devolviendo sus respuestas. ### Starkiller: Phishing Simplificado Aunque existen numerosos kits de phishing, a menudo requieren habilidades técnicas para configurar servidores, nombres de dominio y servicios proxy. **Starkiller** simplifica este proceso cargando dinámicamente una copia en vivo de la página de inicio de sesión real y registrando todo lo que el usuario escribe, proxyficando los datos del sitio legítimo de vuelta a la víctima. Según **Abnormal AI**, **Starkiller** permite a los clientes seleccionar una marca para suplantar (por ejemplo, **Apple**, **Facebook**, **Google**, **Microsoft**) y genera una URL engañosa que imita el dominio legítimo mientras dirige el tráfico a través de la infraestructura del atacante. Por ejemplo, un enlace de phishing dirigido a clientes de **Microsoft** podría aparecer como "login.microsoft.com@[URL maliciosa/acortada aquí]". El signo "@" engaña a los usuarios haciéndoles pensar que el dominio anterior es un nombre de usuario, mientras que la página de destino real es lo que sigue.  ### Ataque Man-in-the-Middle Una vez que los clientes de **Starkiller** seleccionan la URL, el servicio inicia un [contenedor de Docker](https://www.docker.com/resources/what-container/) que ejecuta una [instancia de navegador Chrome sin interfaz gráfica](https://developer.chrome.com/docs/chromium/headless) que carga la página de inicio de sesión real, según **Abnormal**. "El contenedor actúa entonces como un proxy inverso man-in-the-middle, reenviando las entradas del usuario final al sitio legítimo y devolviendo las respuestas del sitio", escribieron los investigadores de **Abnormal**, **Callie Baron** y **Piotr Wojtyla**, en [una publicación de blog](https://abnormal.ai/blog/starkiller-phishing-kit). "Cada pulsación de tecla, envío de formulario y token de sesión pasa a través de la infraestructura controlada por el atacante y se registra en el camino". **Starkiller** ofrece a los cibercriminales monitoreo de sesión en tiempo real, permitiéndoles transmitir en vivo la pantalla del objetivo mientras interactúa con la página de phishing. "La plataforma también incluye captura de keylogger para cada pulsación de tecla, robo de cookies y tokens de sesión para la toma de control directo de cuentas, geo-tracking de objetivos y alertas automatizadas de **Telegram** cuando llegan nuevas credenciales", escribieron. "Las analíticas de campaña completan la experiencia del operador con recuentos de visitas, tasas de conversión y gráficos de rendimiento, el mismo tipo de panel de métricas que ofrecería una plataforma legítima de SaaS [software-as-a-service]". ### Eludiendo la MFA **Abnormal** señala que el servicio intercepta y retransmite las credenciales MFA de la víctima, ya que el destinatario se autentica con el sitio real a través de un proxy. Cualquier token de autenticación enviado se reenvía al servicio legítimo en tiempo real. "El atacante captura las cookies de sesión y los tokens resultantes, lo que le da acceso autenticado a la cuenta", escribieron los investigadores. "Cuando los atacantes retransmiten todo el flujo de autenticación en tiempo real, las protecciones de MFA pueden ser efectivamente neutralizadas a pesar de funcionar exactamente como fueron diseñadas".  ### Jinkusu: El Grupo de Amenaza Detrás de Starkiller **Starkiller** es parte de un conjunto de servicios de cibercrimen ofrecidos por el grupo de amenaza **Jinkusu**, que opera un foro de usuarios activo donde los clientes pueden discutir técnicas, solicitar características y solucionar problemas de implementación. Una característica recopila direcciones de correo electrónico e información de contacto de sesiones comprometidas para construir listas de objetivos para campañas de phishing de seguimiento. Este servicio representa una evolución significativa en el phishing, reduciendo la barrera de entrada para los ciberdelincuentes novatos y eludiendo métodos de detección tradicionales como el bloqueo de dominios y el análisis estático de páginas. "Starkiller representa una escalada significativa en la infraestructura de phishing, reflejando una tendencia más amplia hacia herramientas de cibercrimen comoditizadas y de estilo empresarial", concluye su informe. "Combinado con el enmascaramiento de URL, el secuestro de sesión y la elusión de MFA, otorga a los ciberdelincuentes de bajo nivel acceso a capacidades de ataque que antes estaban fuera de su alcance."