TokyoBlackHatNews

gbhackers.com 4分で読了

新しいStarkillerフィッシングフレームワークが実際のログインページを使用してMFAセキュリティを回避

Starkillerという新しいフィッシングフレームワークが、攻撃者のインフラを通じて主要ブランドの実際のログインページを被害者に提供することで、「サービスとしてのフィッシング」の基準を引き上げています。ページは本物に見えて最新の状態を保ちます。

ライブリバースプロキシとして機能することで、認証情報をキャプチャし、さらに重要なことに、被害者が多要素認証(MFA)を完了した後にセッションクッキー/トークンを盗むことができ、MFAが設計通りに機能している場合でもアカウント乗っ取りを可能にします。

Starkillerの仕組み

静的なHTMLクローンをホストする従来のキットとは異なり、Starkillerはコンテナ内でヘッドレスChromeブラウザを起動し、対象ブランドの実際のサイトをロードし、被害者と正規サービス間のトラフィックをプロキシします。

Image

このアプローチは被害者に本物のHTML/CSS/JavaScriptを配信しながら、攻撃者を「中間」に置いているため、ユーザー入力と認証成果物が通過し、ログに記録されます。

運用面では、プラットフォームはオペレーターがブランドURLを貼り付けて、最小限の技術的努力でフィッシングフローをデプロイできる洗練されたコントロールパネルとして提示されています。

Abnormalのレポートは基本的な認証情報盗難を超える機能に言及しており、リアルタイムセッション監視(被害者セッションのライブビュー)、キーストロークログ、位置情報追跡、自動化されたTelegramアラート、訪問数とコンバージョン率などのキャンペーン型分析が含まれます。

Image

また、被害者がプロキシを通じて実際のサイトに本当に認証しているため、攻撃者がMFA完了後に結果のセッションクッキーとトークンをキャプチャできるようにするため、「MFAバイパス」をコア売却ポイントとして強調しています。

​StarkillerはまたURLマスキングツールを提供することで、最も一般的なユーザー警告サイン、つまり疑わしいリンクを削除しようとします。

Image

プラットフォームはブランドなりすまし選択肢(例えば、主要な消費者向けおよびエンタープライズプロバイダー)、キーワード修飾子、および組み込まれたURLショートナーをサポートして、真の宛先を隠蔽します。

説明されている1つの技術は「@」(userinfo)URLトリックで、「@」の前のコンテンツはユーザー情報として扱われ、実際の宛先はそれ以降に来るため、リンクが一目で信頼できるように見えるようにします。

これは広く文書化されているURLマスク動作と一致しています。ブラウザは最終的に「@」の後のドメインに移動します。これは、前のテキストが正規ブランドを参照しているように見えても同じです。

レポートで説明されている同じマーケティング資料は、Starkillerをより広い詐欺に位置付けており、支払い/財務データ盗難(暗号ウォレットシードフレーズを含む)用のモジュールと、偽のブラウザ更新プロンプト経由でマルウェアをプッシュすることを意図した「フェイク更新」テンプレートがあります。

Image

フレームワークは進化するサービスとして提示されており、コミュニティフォーラム、継続的な更新、およびパネルへのオペレーターアクセスを保護するためのTOTPベースの2FAさえあります。

Image

防御者が今できることは

コアな防御シフトは、これを「単なる」パスワードフィッシングではなく、大規模なセッションハイジャッキングとして扱うことです。実質的に影響を軽減する実践的なステップは次のとおりです:

  • 高値アプリケーションおよびユーザー向けにフィッシング耐性認証(FIDO/WebAuthnまたはPKI)を優先してください。標準化団体はフィッシングリスクのため明示的にフィッシング耐性オプションを推奨しています。連邦ガイダンスはまたFIDO2のチャレンジレスポンス署名が認証を正規サービスに結合し、検証者になりすまし耐性を向上させる方法を説明しています。
  • 完璧に見えるページが生き延びるというアイデンティティシグナルを探索してください:異常なサインイン、予期しない場所からのセッショントークンの再利用、ページフィンガープリンティングおよび単純なブロックリストが失敗する場合に必要として強調された他の行動パターン。
  • メールおよびURLコントロールを厳しくしてください:短いリンクを展開し、「@」userinfo パターンにフラグを立て、実際のドメイン(存在する場合は「@」の後の部分)を検証するようにユーザーをトレーニングしてください。攻撃者はその構造を使用して注意をそらしているからです。
  • 迅速なフォローアップを想定してください:ユーザーが疑わしい「本物の」ログイン体験を報告した場合、アクティブセッションを取り消し、認証情報をリセットし、トークンリプレイと新しいデバイス登録についてサインインログを確認してください(攻撃者が既に有効なセッションクッキーを持っている可能性があるため)。

翻訳元: https://gbhackers.com/new-starkiller-phishing-framework/

ソース: gbhackers.com
#MFAバイパス #Starkiller #サイバー攻撃 #セキュリティ脅威 #セッションハイジャッキング #フィッシング #多要素認証 #詐欺キット #認証セキュリティ #認証資格情報盗難

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚