サイバー犯罪者は、大手ブランドの本物のログインページを提供することでユーザーをだます、高度な「フィッシング・アズ・ア・サービス」ツールであるStarkillerを放出した。
偽のクローンを持つ旧式のフィッシングキットとは異なり、Starkillerは実際のサイトへのトラフィックをプロキシする、こっそりした仲介者として機能する。
StarkillerはDockerコンテナ内でヘッドレスChromeブラウザとともに実行される。被害者がフィッシングリンクをクリックすると、攻撃者のサーバーを通じてMicrosoftのログインページなど、実際のブランドのウェブサイトを読み込む。ページは本物であるため、見た目、操作感、動作が全く同じである。
被害者が認証情報を入力してMFAを承認するが、すべてがプロキシを通過する。攻撃者はキーストローク、地理情報、ライブセッションビューを含むすべてをリアルタイムで記録する。
彼らは成功時にTelegramアラートを受け取り、訪問数やコンバージョンレートなどのキャンペーンパフォーマンス分析を得る。
オペレーターはその容易さを気に入っている。洗練されたコントロールパネルにより、彼らは任意のブランドのURLを貼り付け、フィッシングフローをデプロイし、最小限の労力でカスタマイズできる。
消費者および企業向けの大きなターゲットをサポートしている。疑いを避けるため、StarkillerはURLを巧妙にマスクする。
いかさま的な「@」テクニックが見た目をだます。「[email protected]@evilserver.com」のような形式は最初に信頼できる名前を表示するが、ブラウザはそれを無視して「@」の後の実際の目的地に移動する。
認証情報を超えて、Starkillerは不正行為を促進する。モジュールは支払い詳細、暗号ウォレットのシード、およびマルウェアをドロップするための偽のブラウザ更新プロンプトを取得する。
Jinkusuなどの地下フォーラムでバージョン6.2.4として販売されており、コミュニティアップデートとともに、フィッシングツールにとって皮肉なことに、オペレーターログインを保護するためのTOTP 2FAさえも備えている。
セキュリティ企業Abnormal AIはこれらの詳細を公開し、Starkillerが急速に進化し、真正性とセッション盗聴を混ぜていることを警告している。
ディフェンダーはパスワードアラートを超えて適応する必要がある。FIDO2またはWebAuthnなどのフィッシング耐性認証に移行し、チャレンジレスポンスを通じてログインを実際のサービスに結び付け、プロキシハイジャックをブロックする。連邦ガイドラインはこれを高価値アカウントに推し進めている。
スマートに監視する。新しい場所からの不審なサインイン、再利用されたトークン、または完璧なページでも異常な行動を監視する。ブロックリストはここで失敗するため、アイデンティティシグナルに焦点を当てる。
メールゲートウェイでは、短いリンクと「@」パターンをフラグする。ユーザーに「@」の後の部分の真のドメインを確認し、クリック前にホバーするようトレーニングする。
翻訳元: https://cyberpress.org/starkiller-phishing-framework-uses/