ほとんどのフィッシングウェブサイトは、人気のあるオンラインデスティネーションのログインページの単なる静的コピーに過ぎず、反悪用活動家やセキュリティ企業によってすぐに削除されることがよくあります。しかし、新しい隠ぺいされたフィッシング・アズ・ア・サービスの提供により、顧客はこれら両方の落とし穴を回避することができます。このサービスは巧妙に偽装されたリンクを使用してターゲットブランドの実際のウェブサイトを読み込み、その後ターゲットと正規のサイト間のリレーとして機能し、被害者のユーザー名、パスワード、多要素認証(MFA)コードを正規のサイトに転送し、その応答を返します。
詐欺師の候補者が使用できる無数のフィッシングキットがありますが、それらを正常に操作するには、サーバー、ドメイン名、証明書、プロキシサービス、および他の反復的な技術的な煩雑な作業を構成するための多少のスキルが必要です。ここで登場するのがStarkillerです。これはターゲットログインページのライブコピーを動的に読み込み、ユーザーが入力したすべてを記録し、データを正規のサイトと被害者に戻すプロキシを行う新しいフィッシングサービスです。
セキュリティ企業Abnormal AIによるStarkillerの分析によると、このサービスは顧客が偽装するブランドを選択し(例えば、Apple、Facebook、Google、Microsoftなど)、合法的なドメインを視覚的に模倣しながら、攻撃者のインフラストラクチャを通じてトラフィックをルーティングする欺瞞的なURLを生成することができます。
たとえば、Microsoftの顧客を対象としたフィッシングリンクは「login.microsoft.com@[悪意のある/短縮URL]」として表示されます。リンクのトリックにおける「@」記号は古い手法ですが有効です。なぜなら、URLの「@」の前のすべてはユーザー名データと見なされ、実際のランディングページは「@」記号の後に続くものであるからです。以下は、ターゲットのブラウザにどのように表示されるかです。
画像:Abnormal AI。この画像では実際の悪意のあるランディングページはぼかされていますが、.ruで終わることがわかります。このサービスは、異なるURL短縮サービスからのリンクを挿入する機能も提供しています。
Starkillerの顧客がフィッシングするURLを選択すると、Abnormalが発見したように、このサービスは実際のログインページを読み込むDockerコンテナを実行するヘッドレスChromeブラウザインスタンスをスピンアップします。
「コンテナは中間者リバースプロキシとして機能し、エンドユーザーの入力を正規のサイトに転送し、サイトの応答を返します」と、AbnormalのリサーチャーであるCallie BaronおよびPiotr Wojtylaは木曜日のブログポストで述べています。「すべてのキー入力、フォーム送信、およびセッショントークンは攻撃者が管理するインフラストラクチャを通過し、その過程で記録されます。」
実質的に、Starkillerはサイバー犯罪者にリアルタイムセッション監視を提供し、フィッシングページと対話する際にターゲットの画面をライブストリームできるようにしていると、研究者は述べました。
「プラットフォームには、すべてのキー入力のキーロガーキャプチャ、直接アカウント乗っ取りのためのクッキーおよびセッショントークンの盗聴、ターゲットの地理的追跡、および新しい認証情報が到着したときの自動Telegramアラートも含まれています」と述べられています。「キャンペーン分析は、訪問数、変換率、およびパフォーマンスグラフを使用してオペレーターの経験を完成させます。これは正規のSaaS(Software-as-a-Service)プラットフォームが提供するようなメトリクスダッシュボードと同じです。」
Abnormalは、リンクをクリックしたユーザーは実質的にプロキシを通じて実際のサイトで認証を行っており、提出された認証トークンはリアルタイムで正規のサービスに転送されるため、このサービスは被害者のMFA認証情報も巧妙に傍受およびリレーすることができると述べています。
「攻撃者は結果的なセッションクッキーとトークンをキャプチャし、アカウントへの認証済みアクセスを得ます」と研究者は述べています。「攻撃者が認証フロー全体をリアルタイムでリレーする場合、MFA保護は設計どおりに機能しているにもかかわらず、効果的に無効化される可能性があります。」
Starkillerフィッシングサービスの「URLマスカー」機能は、悪意のあるリンクを構成するためのオプションを備えています。画像:Abnormal。
Starkillerは、Jinkusuと呼ばれる脅威グループが提供するいくつかのサイバー犯罪サービスの1つです。このグループは、顧客がテクニックを議論したり、機能をリクエストしたり、デプロイメントをトラブルシューティングできるアクティブなユーザーフォーラムを運営しています。1つのア・ラ・カルト機能は、侵害されたセッションからメールアドレスと連絡先情報を収集し、データはフォローアップフィッシングキャンペーンのターゲットリストを構築するために使用できることをアドバイスします。
このサービスは私にとってフィッシングにおける顕著な進化のように思われ、その明らかな成功は他の意欲的なサイバー犯罪者によってコピーされる可能性が高いです(サービスが主張するほど実行される場合)。結局のところ、このようにユーザーをフィッシングすることは、複数のフィッシングドメインを操作することに関連する事前費用と継続的な手間を回避し、ドメインブロックリストと静的ページ分析などの従来のフィッシング検出方法に大きな支障をきたします。
また、Abnormalの研究者が観察したように、初心者のサイバー犯罪者の参入障壁を大幅に低下させます。
「Starkillerはフィッシングインフラストラクチャの重大なエスカレーションを表しており、商品化された企業型サイバー犯罪ツール化への広範なトレンドを反映しています」と、彼らのレポートは結論づけています。「URLマスキング、セッションハイジャック、およびMFAバイパスと組み合わせると、低スキルのサイバー犯罪者に以前は到達不可能だった攻撃機能へのアクセスを提供します。」
翻訳元: https://krebsonsecurity.com/2026/02/starkiller-phishing-service-proxies-real-login-pages-mfa/
