Phishing napadi su često jednostavni, statični kopije stranica za prijavu na popularne online servise, ali novi servis pod imenom Starkiller donosi inovativan pristup. Ovaj servis omogućava korisnicima da koriste prave login stranice, a zatim deluje kao posrednik između cilja i legitimne stranice, preusmeravajući korisničke podatke, uključujući korisnička imena, lozinke i MFA kodove, na pravi sajt.
Postoji mnogo phishing alata koje prevaranti mogu koristiti, ali za uspešno korišćenje ovih alata potrebna su određena tehnička znanja. Starkiller menja igru tako što dinamički učitava pravu stranicu za prijavu i beleži sve što korisnik unosi, čime šalje podatke sa legitimnog sajta nazad žrtvi.
Prema analizi bezbednosne kompanije Abnormal AI, Starkiller omogućava korisnicima da odaberu brend koji žele da imituju (npr. Apple, Facebook, Google) i generiše obmanjujuće URL-ove koji liče na legitimne domene, dok saobraćaj prolazi kroz infrastrukturu napadača.
Na primer, phishing link koji cilja Microsoft korisnike može izgledati kao „login.microsoft.com@[maliciozni/skriveni URL]“. Ovaj trik sa znakom „@“ omogućava napadačima da obmanu korisnike, jer sve pre znaka „@“ se smatra korisničkim imenom, dok se prava stranica učitava nakon znaka.
Ilustracija: Abnormal AI. Prava maliciozna stranica je zamagljena, ali se vidi da završava na .ru.
Jednom kada korisnici odaberu URL koji žele da napadnu, Starkiller pokreće Docker kontejner sa headless Chrome browser-om koji učitava pravu stranicu za prijavu. Ovaj kontejner deluje kao reverzni proxy, preusmeravajući ulaze korisnika na legitimnu stranicu i vraćajući odgovore sa sajta.
Prema rečima istraživača Abnormal-a, Starkiller omogućava cyber kriminalcima praćenje sesija u realnom vremenu, što im omogućava da vide kako žrtva komunicira sa phishing stranicom.
Osim toga, platforma nudi mogućnosti za prikupljanje svih unosa sa tastature, krađu kolačića i tokena sesije za direktno preuzimanje naloga, geo-lokaciju ciljeva i automatska obaveštenja putem Telegram-a kada nova akreditivna saznanja stignu.
Starkiller je deo šireg spektra usluga koje nudi grupa pretnji poznata kao Jinkusu, koja održava aktivni forum gde korisnici mogu deliti tehnike i tražiti pomoć. Ovaj servis predstavlja značajan korak napred u evoluciji phishing napada, a njegov uspeh može inspirisati druge cyber kriminalce da primene slične metode.
Ovaj pristup takođe smanjuje prepreke ulaska za novice u svetu cyber kriminala, omogućavajući im pristup naprednim alatima koji su ranije bili nedostupni. Starkiller takođe pokazuje kako se alati za phishing mogu razvijati u pravcu komercijalizacije, što predstavlja izazov za tradicionalne metode detekcije phishing-a.
