新たに発見されたフィッシングキットは、実際のログインページを偽造し、多要素認証(MFA)の保護をバイパスするツールキットを使用してユーザー名とパスワードを盗むことを可能にしているとサイバーセキュリティアナリストが警告しています。
Starkillerと呼ばれるこのフィッシングプラットフォームはAbnormalの研究者によって詳しく説明されており、「商用レベルのサイバー犯罪プラットフォーム」および「大規模でアイデンティティを盗むための包括的なツールキット」として説明されています。
このツールはダークウェブでソフトウェアアズアサービス(SaaS)製品のように配布され、サブスクリプションモデル、アップデート、カスタマーサポート完備です。
研究者は、Starkiller という名前がBC Securityの正当なレッドチームペネトレーションテストツールと共有されていますが、2つのプラットフォームは無関係であることを指摘しています。
Starkillerが注目に値する理由は、他の多くのフィッシングキットとどのように異なるかにあります。
ほとんどのものは、攻撃者が複製したいログインページの静的HTMLクローンに依存しています。しかし、Starkillerでは、フィッシングサイトは攻撃者が管理するインフラストラクチャによって運営されるプロキシを通じて起動され、テンプレートとして使用される実際のログインポータルと区別がつきません。
「受信者は攻撃者のインフラストラクチャを通じて本物のページコンテンツを直接提供されるため、フィッシングページが古くなることはありません。そして、Starkillerが実際のサイトをライブでプロキシするため、セキュリティベンダーが指紋認証やブロックリストに登録するためのテンプレートファイルは存在しません」とAbnormalの研究者は説明しました。
プロキシはヘッドレスChromeインスタンスで起動され、ユーザーにほとんど疑いを持つ理由を与えません。しかし、インフラストラクチャは、入力された認証情報が攻撃者に直接設定されることを意味しています。
Starkiller キットは、Google、Microsoft、Facebook、Apple、Amazon、Netflix、PayPal、様々な銀行、その他多くのオンラインサービスを模倣する能力を攻撃者に提供します。このツールは、正当なドメインを視覚的に模倣する欺瞞的なURLを生成しながら、トラフィックを攻撃者のインフラストラクチャを通じてルーティングします。
Starkillerはまた、サイバー犯罪者にリアルタイムセッション監視を提供し、ターゲットがフィッシングページと対話するのをライブで監視できるようにするほか、キーロガーを使用して被害者が入力したものを何でもキャプチャすることができます。
StarkillerがどのようにMFAバイパスを有効にするか
Starkillerが構築されている方法は、またMFAをバイパスすることを可能にします。これは、ターゲットユーザーがプロキシを通じて実際のサイトで認証しているためです。
つまり、彼らが提出した一回限りのコードまたは認証トークンはリアルタイムで正当なサービスに転送され、攻撃者に直接アカウントへのアクセスを提供します。
Abnormalによると、Starkiller 攻撃が配布される最も可能性の高い方法は、GoogleやMicrosoftなどからの正当な警告や通知を模倣するフィッシングメールです。
ツールキットは月額料金を伴うサブスクリプションベースのツールキットとして販売されており、ユーザーはプラットフォームの更新とTelegram経由のヘルプデスクサポートを提供されます。
「継続的な開発のレベルは、Starkillerが検出と防御がますます困難になる可能性があることを意味しています」とAbnormalの研究者は警告し、また「フィッシングインフラストラクチャにおける重大なエスカレーション」としてツールを説明しています。
Starkillerによって展開された攻撃から防御するために、組織は異常なログインパターンまたは予期しない場所からのセッショントークン再利用を監視することが推奨されています。
翻訳元: https://www.infosecurity-magazine.com/news/starkiller-phishing-kit-bypasses/
