A maioria dos sites de phishing são cópias simples de páginas de login e são rapidamente desativados. No entanto, **Starkiller** oferece uma alternativa furtiva, permitindo que atacantes evitem essas armadilhas usando links inteligentemente disfarçados para carregar o site real da marca alvo. Em seguida, ele atua como um relay, encaminhando as credenciais da vítima para o site legítimo e retornando suas respostas. ### Starkiller: Phishing Facilitado Embora existam inúmeros kits de phishing, eles geralmente exigem habilidades técnicas para configurar servidores, nomes de domínio e serviços proxy. **Starkiller** simplifica esse processo carregando dinamicamente uma cópia ao vivo da página de login real e gravando tudo o que o usuário digita, encaminhando os dados do site legítimo de volta para a vítima. De acordo com a **Abnormal AI**, **Starkiller** permite que os clientes selecionem uma marca para se passar (por exemplo, **Apple**, **Facebook**, **Google**, **Microsoft**) e gera um URL enganoso que imita o domínio legítimo enquanto roteia o tráfego pela infraestrutura do atacante. Por exemplo, um link de phishing visando clientes da **Microsoft** pode aparecer como "login.microsoft.com@[URL malicioso/encurtado aqui]". O sinal "@" engana os usuários, fazendo-os pensar que o domínio antes dele é um nome de usuário, enquanto a página de destino real é o que se segue.  ### Ataque Man-in-the-Middle Uma vez que os clientes do **Starkiller** selecionam o URL, o serviço inicia um [contêiner Docker](https://www.docker.com/resources/what-container/) executando uma [instância de navegador headless Chrome](https://developer.chrome.com/docs/chromium/headless) que carrega a página de login real, de acordo com a **Abnormal**. "O contêiner então atua como um proxy reverso man-in-the-middle, encaminhando as entradas do usuário final para o site legítimo e retornando as respostas do site", escreveram os pesquisadores da **Abnormal**, **Callie Baron** e **Piotr Wojtyla**, em [um post de blog](https://abnormal.ai/blog/starkiller-phishing-kit). "Cada tecla digitada, submissão de formulário e token de sessão passa pela infraestrutura controlada pelo atacante e é registrada ao longo do caminho." **Starkiller** oferece aos cibercriminosos monitoramento de sessão em tempo real, permitindo que eles transmitam ao vivo a tela do alvo enquanto ele interage com a página de phishing. "A plataforma também inclui captura de keylogger para cada tecla digitada, roubo de cookies e tokens de sessão para tomada de conta direta, geo-rastreamento de alvos e alertas automatizados do **Telegram** quando novas credenciais chegam", escreveram eles. "Análises de campanha completam a experiência do operador com contagens de visitas, taxas de conversão e gráficos de desempenho – o mesmo tipo de painel de métricas que uma plataforma legítima de SaaS [software-as-a-service] ofereceria." ### Bypassing MFA A **Abnormal** observa que o serviço intercepta e retransmite as credenciais de MFA da vítima, pois o destinatário está autenticando com o site real através de um proxy. Quaisquer tokens de autenticação submetidos são encaminhados para o serviço legítimo em tempo real. "O atacante captura os cookies e tokens de sessão resultantes, obtendo acesso autenticado à conta", escreveram os pesquisadores. "Quando os atacantes retransmitem todo o fluxo de autenticação em tempo real, as proteções de MFA podem ser efetivamente neutralizadas, apesar de funcionarem exatamente como projetadas."  ### Jinkusu: O Grupo de Ameaça por Trás do Starkiller **Starkiller** faz parte de um conjunto de serviços de cibercrime oferecidos pelo grupo de ameaça **Jinkusu**, que opera um fórum ativo de usuários onde os clientes podem discutir técnicas, solicitar recursos e solucionar problemas de implantação. Um recurso coleta endereços de e-mail e informações de contato de sessões comprometidas para construir listas de alvos para campanhas de phishing subsequentes. Este serviço representa uma evolução significativa no phishing, diminuindo a barreira de entrada para cibercriminosos novatos e contornando métodos de detecção tradicionais, como bloqueio de domínio e análise estática de páginas. "Starkiller representa uma escalada significativa na infraestrutura de phishing, refletindo uma tendência mais ampla em direção a ferramentas de cibercrime comoditizadas e de estilo empresarial", conclui o relatório. "Combinado com mascaramento de URL, sequestro de sessão e bypass de MFA, ele dá a cibercriminosos de baixa habilidade acesso a capacidades de ataque que antes estavam fora de alcance."