Starkillerという名の新しく高度なフィッシングフレームワークが、サイバー犯罪の世界で波紋を広げています。
ログインページの静的なHTMLクローンに依存する従来のフィッシングキットとは異なり、Starkillerはより高度なアプローチを採用し、実際のログインページを使用し、攻撃者が制御するインフラストラクチャを通じてそれらをプロキシしています。
この方法により、サイバー犯罪者は多要素認証(MFA)保護をバイパスし、機密認証情報をより効果的に盗むことができます。
Starkillerはサイバー犯罪グループJinkusuが提供する商用グレードのプラットフォームで、大規模なフィッシングキャンペーンを実行するために設計されています。
このプラットフォームは、正規ブランドのログインページをロードする、Dockerコンテナ内で、見えないブラウザであるヘッドレスChromeインスタンスを起動することで動作します。
コンテナはユーザーと実際のウェブサイトの間の中間者リバースプロキシとして機能します。その結果、ユーザーは自分の入力が攻撃者によって傍受およびログされていることを知らずに、本物のログインページと対話します。
Starkillerの最も危険な機能の1つは、MFAをバイパスする能力です。攻撃者がセッションフローをリアルタイムで制御するため、被害者が入力したMFAコードまたはトークンは正規サービスに直接渡され、攻撃者が失効する前に盗むことができます。
Starkillerフレームワークは、サイバー犯罪者が最小限の技術知識でフィッシングキャンペーンを実行できるようにする使いやすいダッシュボードを提供しています。
リアルタイムセッション監視などの機能により、攻撃者はフィッシングページと対話する被害者のアクションを追跡できます。
このプラットフォームには、被害者が入力したすべてのキーストロークをキャプチャするキーロガー、ジオトラッキング、および新しい認証情報が取得されたときの自動Telegramアラートも含まれます。
フィッシングキャンペーンをさらに説得力のあるものにするために、StarkillerはURLマスキングツールを含みます。
この機能により、攻撃者はGoogleやMicrosoftなどの信頼できるドメインに視覚的に類似した欺瞞的なURLを作成できます。これにより、ユーザーが悪意のあるリンクをクリックする可能性が高まります。プラットフォームはまた、悪意のある宛先をさらに隠すためにURLショートナーを統合しています。
Starkillerの機能は金融詐欺に及び、クレジットカード番号、暗号ウォレットシード、および銀行認証情報をキャプチャするモジュールを提供しています。
このプラットフォームは、被害者に悪意のあるペイロードをダウンロードさせるための偽のソフトウェア更新もサポートしています。これらの機能により、サイバー犯罪者は、様々な貴重なデータをターゲットとした洗練された大規模な操作を実行できます。
Starkillerは新しい波のフィッシング攻撃を表しており、従来のセキュリティ対策がこれらの脅威を停止することをはるかに困難にしています。
セキュリティツールは通常、フィッシング試行を検出するためにページフィンガープリントとドメインブロックリストに依存します。しかし、Starkillerの動的でリアルタイムのフィッシングページはこれらの防御を無効にします。
正規コンテンツを提供するリバースプロキシとMFAバイパス機能の組み合わせは、それを特に危険なツールにします。
Starkillerおよび同様のフレームワークから防御するために、セキュリティ対策は静的なページコンテンツのみに依存するのではなく、異常なログインパターンと異常なセッションアクティビティを探す行動分析に焦点を当てる必要があります。
これらの疑わしい行動を早期に特定することは、ユーザーがますます高度になる攻撃の被害者になるのを防ぐのに役立ちます。
翻訳元: https://cyberpress.org/starkiller-bypasses-mfa-protection/