Novi phishing kit Starkiller, koji su otkrili istraživači Abnormal AI, predstavlja jednu od najsofisticiranijih phishing platformi koje su do sada dospele u ruke sajber kriminalaca, a ono što ga čini posebno opasnim nije samo tehnička elegancija, nego dostupnost čak i napadačima bez ikakvog tehničkog predznanja.

Kako Starkiller funkcioniše

Većina phishing kitova oslanja se na statičke HTML kopije legitimnih stranica za prijavu. Takvi klonovi imaju kratak rok trajanja, jer svaka manja izmena korisničkog interfejsa od strane brenda momentalno razotkriva prevaru, a sigurnosni alati ih lako identifikuju putem fingerprinting metoda.

Starkiller radi potpuno drugačije. Umesto kloniranja, platforma pri svakom napadu pokreće headless Chrome instancu unutar Docker kontejnera, koja učitava pravu web stranicu ciljanog brenda i funkcioniše kao reverse proxy između žrtve i legitimnog sajta. Žrtva vidi autentičan sadržaj u realnom vremenu, direktno sa originalnih servera, jer ga praktično i dobija, samo što saobraćaj prolazi kroz infrastrukturu napadača.

Posledice su ozbiljne:

• Nema statičnih fajlova koje bi sigurnosni alati mogli da otkriju ili stave na blocklist
• Stranica je uvek ažurna, bez potrebe za ručnim održavanjem
• Vizuelno je identična originalnoj, jedini trag je URL

MFA bypass: Zašto dvofaktorska zaštita više nije dovoljna

Ovo je možda najozbiljniji aspekt Starkillerove arhitekture.

Pošto žrtva zaista komunicira sa legitimnom servisom kroz proxy, svaki jedinstveni kod ili autentifikacioni token koji unese biva prosleđen pravom servisu u realnom vremenu. Napadač u tom trenutku presreće session cookie i dobija potpuno autentifikovani pristup nalogu. MFA zaštita funkcioniše tačno onako kako je dizajnirana, a ipak je zaobiđena.

Ovo je suštinska razlika u odnosu na starije napade: nije reč o slabosti MFA implementacije, nego o tome da proxy arhitektura čini ceo autentifikacioni tok transparentnim za napadača.

Mogućnosti platforme

Starkiller distribuira grupa koja sebe naziva Jinkusu, i prodaje se kao komercijalna SaaS platforma sa kompletnim kontrolnim panelom. Lista funkcija je impresivna, u negativnom smislu:

• Live session monitoring - napadač može u realnom vremenu da prati ekran žrtve
• Keylogger za hvatanje svakog pritiska tastera
• Krađa kolačića i session tokena za direktno preuzimanje naloga
• Geo-tracking žrtava, uz automatske Telegram notifikacije kada stignu novi kredencijali
• Analitika kampanja - broj poseta, stope konverzije i grafici performansi (kao na legitimnoj SaaS platformi)
• Specijalizovani moduli za finansijske prevare: broj kreditnih kartica, seed fraze kripto novčanika, bankarski kredencijali
• Lažni templejti za update popularnih browsera (Chrome, Firefox) za distribuciju malicioznog softvera
• EvilEngine Core — modul koji po tvrdnjama developera čini phishing linkove potpuno nemogućim za otkrivanje.

Sva operativna infrastruktura - Docker engine, izgradnja kontejnera, SSL sertifikati - upravlja se automatski iz jednog panela. Napadač ne mora da razume reverse proxije ni certificate management da bi pokrenuo napad.

URL maskiranje: stara tehnika, novi sjaj

Starkiller uključuje URL masker koji koristi poznati trik sa @ simbolom u URL-u. Sve ispred @ znaka se prikazuje kao userinfo i vizuelno dominira u adresnoj traci, dok se stvarni domen nalazi iza njega. Platforma to pakuje u point-and-click interfejs, pa čak i napadači bez ikakavog tehničkog znanja mogu da generišu URL-ove koji vizuelno izgledaju kao microsoft.com-login, a vode ka zlonamernoj infrastrukturi.

Povrh toga, integrisani URL shortener servisi (TinyURL, is.gd, v.gd) dodatno skrivaju odredište i otežavaju automatizovanu analizu.

Podržani brendovi za lažno predstavljanje uključuju Microsoft, Google, Facebook, Apple, Amazon, Netflix, PayPal i brojne banke.

Ekosistem koji raste

Starkiller nije izolovani alat. Jinkusu održava aktivni forum zajednice gde operateri razmenjuju taktike, traže nove funkcije i pomažu jedni drugima. Platforma je trenutno na verziji 6.2.4 i dobija mesečne nadgradnje.

Ironično — ili možda cinično — Starkiller štiti sopstvene operatere pomoću TOTP dvofaktorske autentifikacije. Isti tip zaštite koji uspešno zaobilazi kod žrtava, koristi za sebe.

Zašto tradicionalna odbrana nije dovoljna

Statična analiza stranica, domain blocklisting i URL filtriranje na osnovu reputacije nemaju efekta kada framework dinamički generiše phishing sadržaj za svaku sesiju u realnom vremenu.

Detekcija mora da se pomeri ka bihejvioralnim signalima kao što su:

• Anomalijski login obrasci i session token reuse sa neočekivanih lokacija
• Identity-aware analiza koja može da uhvati kompromitovanu sesiju čak i kada sama phishing stranica izgleda savršeno
• Na nivou inboxa analiza konteksta i ponašanja pošiljaoca, a ne samo sadržaja linkova

Starkiller je simptom šireg trenda: sajber kriminal se sve više ponaša kao softverska industrija, sa verzijama proizovda, korisničkom podrškom, SLA ugovorima i zajednicama. Alati koji su nekada bili dostupni samo naprednim igračima sada su na dohvat ruke svakom ko može da plati pretplatu.

Izvor: Abnormal AI – Starkiller: New Phishing Framework Proxies Real Login Pages to Bypass MFA.