«Старкиллер»: Новый сервис фишинга-как-услуги обходит MFA, проксируя реальные страницы входа
Опасная новая платформа фишинга-как-услуги (PhaaS) под названием «Старкиллер» позволяет киберпреступникам проводить высокоубедительные атаки, способные обходить традиционные методы обнаружения и многофакторную аутентификацию (MFA). В отличие от статических фишинговых наборов, «Старкиллер» действует как вредоносный прокси. Он динамически загружает настоящую страницу входа целевого бренда — такую как Microsoft, Apple или Google — прямо с легитимного сайта. Сервис невидимо располагается между жертвой и реальным веб-сайтом, передавая все введённые учётные данные и, что критично, любые одноразовые коды MFA обратно в легитимный сервис в реальном времени. Эта техника не только собирает данные, но и завершает процесс аутентификации от имени жертвы, предоставляя злоумышленнику мгновенный доступ к аккаунту, в то время как пользователь видит нормальный, успешный вход.
Операционная модель «Старкиллера» существенно снижает порог входа для проведения продвинутых фишинговых кампаний. Как проанализировала компания Abnormal AI, клиенты сервиса просто выбирают бренд для имитации. «Старкиллер» затем генерирует обманчивый URL-адрес, визуально имитирующий легитимный домен, при этом направляя весь трафик через инфраструктуру атакующего. Ключевая тактика включает использование символа «@» в URL-адресах — старый, но эффективный трюк. Например, ссылка может выглядеть как «login.microsoft.com@[вредоносный-домен].ru». В стандартном URL всё до «@» обрабатывается как информация об имени пользователя; браузер фактически переходит к домену после знака «@», которым является контролируемая злоумышленником фишинговая страница. Это создаёт мощную визуальную иллюзию для жертвы.
Этот прокси-подход представляет собой грозную проблему как для пользователей, так и для систем безопасности. Поскольку жертва взаимодействует с реальным фронтендом настоящего сайта, традиционные индикаторы, такие как плохое качество SSL-сертификата или незначительные визуальные несоответствия клонированной страницы, отсутствуют. Сообщается, что сервис также интегрируется с сокращателями URL для дальнейшего сокрытия конечного пункта назначения. Для защитников обнаружение таких атак требует анализа сетевого трафика на предмет аномальных перенаправлений или выявления самой релейной инфраструктуры, а не полагаться исключительно на статический анализ страниц или репутацию домена.
Появление «Старкиллера» подчёркивает опасную эволюцию в экономике киберпреступности, где коммодитизированные сервисы предоставляют продвинутые возможности, ранее доступные лишь сложным угрозам. Это высвечивает критическую необходимость перехода от чисто технических средств защиты к усилению осведомлённости пользователей и внедрению поведенческого анализа. Борьба с такими атаками требует комплексного подхода, сочетающего технологические решения с постоянным обучением, поскольку даже самая совершенная система MFA может быть скомпрометирована, если пользователь сам передаст свои коды злоумышленнику.
