La plupart des sites web de phishing sont de simples copies de pages de connexion et sont rapidement démantelés. Cependant, **Starkiller** offre une alternative discrète, permettant aux attaquants de contourner ces écueils en utilisant des liens habilement déguisés pour charger le vrai site web de la marque ciblée. Il agit ensuite comme un relais, transmettant les identifiants de la victime au site légitime et renvoyant ses réponses. ### Starkiller : le phishing simplifié Bien qu'il existe de nombreux kits de phishing, ils nécessitent souvent des compétences techniques pour configurer les serveurs, les noms de domaine et les services de proxy. **Starkiller** simplifie ce processus en chargeant dynamiquement une copie en direct de la vraie page de connexion et en enregistrant tout ce que l'utilisateur tape, en renvoyant les données du site légitime à la victime. Selon **Abnormal AI**, **Starkiller** permet aux clients de sélectionner une marque à usurper (par exemple, **Apple**, **Facebook**, **Google**, **Microsoft**) et génère une URL trompeuse qui imite le domaine légitime tout en acheminant le trafic via l'infrastructure de l'attaquant. Par exemple, un lien de phishing ciblant les clients **Microsoft** pourrait apparaître comme "login.microsoft.com@[URL raccourcie/malveillante ici]". Le signe "@" trompe les utilisateurs en leur faisant croire que le domaine qui le précède est un nom d'utilisateur, tandis que la vraie page de destination est ce qui suit.  ### Attaque de l'homme du milieu Une fois que les clients de **Starkiller** sélectionnent l'URL, le service lance un [conteneur Docker](https://www.docker.com/resources/what-container/) exécutant une [instance de navigateur Chrome sans interface graphique](https://developer.chrome.com/docs/chromium/headless) qui charge la vraie page de connexion, selon **Abnormal**. "Le conteneur agit alors comme un proxy inverse de l'homme du milieu, transmettant les entrées de l'utilisateur final au site légitime et renvoyant les réponses du site", ont écrit les chercheurs d'**Abnormal**, **Callie Baron** et **Piotr Wojtyla**, dans [un article de blog](https://abnormal.ai/blog/starkiller-phishing-kit). "Chaque frappe au clavier, soumission de formulaire et jeton de session passe par l'infrastructure contrôlée par l'attaquant et est enregistrée en cours de route." **Starkiller** offre aux cybercriminels une surveillance de session en temps réel, leur permettant de diffuser en direct l'écran de la cible pendant qu'elle interagit avec la page de phishing. "La plateforme comprend également la capture par enregistreur de frappe pour chaque frappe, le vol de cookies et de jetons de session pour une prise de contrôle directe de compte, le géolocalisation des cibles et des alertes automatisées sur **Telegram** lorsque de nouveaux identifiants arrivent", ont-ils écrit. "Les analyses de campagne complètent l'expérience de l'opérateur avec des décomptes de visites, des taux de conversion et des graphiques de performance – le même type de tableau de bord de métriques qu'une plateforme SaaS [software-as-a-service] légitime proposerait." ### Contournement de l'authentification multifacteur **Abnormal** note que le service intercepte et relaie les identifiants MFA de la victime, car le destinataire authentifie auprès du vrai site via un proxy. Tous les jetons d'authentification soumis sont transmis au service légitime en temps réel. "L'attaquant capture les cookies de session et les jetons résultants, lui donnant un accès authentifié au compte", ont écrit les chercheurs. "Lorsque les attaquants relaient l'intégralité du flux d'authentification en temps réel, les protections MFA peuvent être effectivement neutralisées malgré leur fonctionnement exact comme prévu."  ### Jinkusu : le groupe de menaces derrière Starkiller **Starkiller** fait partie d'une suite de services de cybercriminalité proposés par le groupe de menaces **Jinkusu**, qui exploite un forum d'utilisateurs actif où les clients peuvent discuter des techniques, demander des fonctionnalités et dépanner les déploiements. Une fonctionnalité permet de collecter des adresses e-mail et des informations de contact à partir de sessions compromises afin de constituer des listes de cibles pour des campagnes de phishing ultérieures. Ce service représente une évolution significative du phishing, abaissant la barrière à l'entrée pour les cybercriminels novices et contournant les méthodes de détection traditionnelles telles que le blocage de domaine et l'analyse statique de pages. "Starkiller représente une escalade significative de l'infrastructure de phishing, reflétant une tendance plus large vers des outils de cybercriminalité banalisés et de type entreprise", conclut leur rapport. "Combiné au masquage d'URL, au détournement de session et au contournement de l'authentification multifacteur, il donne aux cybercriminels peu qualifiés accès à des capacités d'attaque qui étaient auparavant hors de portée."