ほとんどのフィッシングウェブサイトはログインページの単純なコピーであり、すぐに削除されます。しかし、**Starkiller**は巧妙に偽装されたリンクを使用してターゲットブランドの実際のウェブサイトを読み込むことで、攻撃者がこれらの落とし穴を回避できるようにする、隠密性の高い代替手段を提供します。その後、リレーとして機能し、被害者の認証情報を正規のサイトに転送し、その応答を返します。 ### Starkiller：フィッシングが容易に 多数のフィッシングキットが存在しますが、サーバー、ドメイン名、プロキシサービスの設定には技術的なスキルが必要な場合が多くあります。**Starkiller**は、実際のログインページのライブコピーを動的に読み込み、ユーザーが入力したすべてのものを記録し、正規のサイトから被害者へデータをプロキシすることで、このプロセスを簡素化します。 **Abnormal AI**によると、**Starkiller**を使用すると、顧客はなりすますブランド（例：**Apple**、**Facebook**、**Google**、**Microsoft**）を選択でき、正規のドメインを模倣しながらトラフィックを攻撃者のインフラストラクチャにルーティングする欺瞞的なURLを生成します。 たとえば、**Microsoft**の顧客をターゲットにしたフィッシングリンクは、「login.microsoft.com@[悪意のある/短縮されたURLはこちら]」のように表示される場合があります。「@」記号は、ユーザーにその前のドメインをユーザー名だと思わせ、実際のランディングページはその後ろに来るものとなります。  ### 中間者攻撃 **Abnormal**によると、**Starkiller**の顧客がURLを選択すると、サービスは[Dockerコンテナ](https://www.docker.com/resources/what-container/)を起動し、[ヘッドレスChromeブラウザインスタンス](https://developer.chrome.com/docs/chromium/headless)を実行して実際のログインページを読み込みます。 **Abnormal**の研究者である**Callie Baron**と**Piotr Wojtyla**は、[ブログ投稿](https://abnormal.ai/blog/starkiller-phishing-kit)で次のように述べています。「コンテナは中間者リバースプロキシとして機能し、エンドユーザーの入力を正規のサイトに転送し、サイトの応答を返します。すべてのキーストローク、フォーム送信、セッショントークンは攻撃者が制御するインフラストラクチャを通過し、その過程で記録されます。」 **Starkiller**はサイバー犯罪者にリアルタイムのセッション監視を提供し、ターゲットがフィッシングページと対話する様子をライブストリーミングすることを可能にします。 「このプラットフォームには、すべてのキーストロークのキーロガーキャプチャ、直接のアカウント乗っ取りのためのCookieおよびセッショントークンの盗難、ターゲットのジオトラッキング、および新しい認証情報が入った際の自動**Telegram**アラートも含まれています」と彼らは書いています。「キャンペーン分析は、訪問者数、コンバージョン率、パフォーマンスグラフなど、正規のSaaS [software-as-a-service]プラットフォームが提供するものと同じ種類のメトリックダッシュボードでオペレーターエクスペリエンスを完成させます。」 ### MFAのバイパス **Abnormal**は、受信者がプロキシを介して正規のサイトで認証しているため、サービスが被害者のMFA認証情報を傍受して中継すると指摘しています。送信された認証トークンはリアルタイムで正規のサービスに転送されます。 「攻撃者は結果として得られたセッションCookieとトークンをキャプチャし、アカウントへの認証済みアクセスを取得します」と研究者たちは書いています。「攻撃者が認証フロー全体をリアルタイムで中継すると、MFA保護は設計どおりに機能していても、効果的に無効化できます。」  ### Starkillerの背後にある脅威グループ：Jinkusu **Starkiller**は、脅威グループ**Jinkusu**が提供するサイバー犯罪サービススイートの一部であり、顧客が技術について議論したり、機能リクエストを行ったり、デプロイメントのトラブルシューティングを行ったりできるアクティブなユーザーフォーラムを運営しています。ある機能は、侵害されたセッションから電子メールアドレスや連絡先情報を収集し、後続のフィッシングキャンペーンのターゲットリストを作成します。 このサービスはフィッシングにおける重要な進化を表しており、新規サイバー犯罪者の参入障壁を下げ、ドメインブロックリストや静的ページ分析などの従来の検出方法を回避します。 「Starkillerはフィッシングインフラストラクチャにおける大幅なエスカレーションを表しており、コモディティ化されたエンタープライズスタイルのサイバー犯罪ツールの広範な傾向を反映しています」と彼らのレポートは結論付けています。「URLマスキング、セッションハイジャック、MFAバイパスと組み合わせることで、低スキルのサイバー犯罪者に、以前は手の届かなかった攻撃機能へのアクセスを提供します。」