Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Starkiller Phishing Suite користи AitM reverse proxy за заобиколување на повеќефакторска автентикација

Објавено: 04.03.2026

Истражувачи за сајбер-безбедност објавија детали за нов phishing пакет наречен Starkiller, кој ги проксира легитимните страници за најава со цел да ги заобиколи заштитите со повеќефакторска автентикација (MFA).

Алатката се рекламира како сајбер-криминална платформа од група што се нарекува Jinkusu, нудејќи контролна табла преку која корисниците можат да изберат бренд што ќе го имитираат или да внесат вистинска URL-адреса на бренд. Исто така овозможува избор на клучни зборови како „login“, „verify“, „security“ или „account“, и интегрира скратувачи на URL-адреси како TinyURL за да се прикрие вистинската дестинација.

Истражувачите од Abnormal, Кели Барон и Пјотр Војтила, велат дека алатката стартува headless Chrome инстанца (прелистувач без видлив прозорец) во Docker контејнер, ја вчитува вистинската веб-страница на брендот и функционира како reverse proxy помеѓу жртвата и легитимната страница.

Примателите добиваат автентична содржина директно преку инфраструктурата на напаѓачот, што значи дека phishing страницата никогаш не е застарена. Бидејќи Starkiller ја проксира реалната страница во живо, не постојат шаблон-датотеки што безбедносните компании би можеле да ги идентификуваат или блокираат.

Оваа техника на проксирање ја елиминира потребата напаѓачите постојано да ги ажурираат своите phishing шаблони. Контејнерот функционира како attacker-in-the-middle (AitM) reverse proxy, пренесувајќи ги внесовите на корисникот кон вистинската страница и враќајќи ги одговорите назад. Во позадина, секое притискање на тастатура, секое поднесување на форма и секој сесиски токен се пренасочуваат преку инфраструктура под контрола на напаѓачот и се снимаат за преземање на сметка.

Abnormal наведува дека платформата ги централизира управувањето со инфраструктурата, распоредувањето на phishing страници и мониторингот на сесии во единствен контролен панел. Во комбинација со маскирање на URL-адреси, кражба на сесии и заобиколување на MFA, таа им овозможува на помалку искусни криминалци пристап до напредни нападни техники.

Во меѓувреме, Datadog откри дека 1Phish пакетот еволуирал од едноставна алатка за кражба на креденцијали во септември 2025 година во повеќефазен phishing систем насочен кон корисници на 1Password. Новата верзија вклучува механизам за fingerprint и валидација пред phishing фазата, поддршка за собирање еднократни лозинки (OTP) и recovery кодови, како и browser fingerprinting за филтрирање ботови.

Истражувачите истакнуваат дека ваквите решенија, како Starkiller и 1Phish, го претвораат phishing-от во SaaS-модел, дополнително намалувајќи ја потребната техничка експертиза за спроведување напади во голем обем.

Паралелно, откриена е и софистицирана кампања насочена кон бизниси и професионалци во Северна Америка, која го злоупотребува OAuth 2.0 device authorization flow за да ја заобиколи MFA и да компромитира Microsoft 365 сметки.

Напаѓачот регистрира Microsoft OAuth апликација и генерира уникатен device код, кој потоа се испраќа до жртвата преку таргетирана phishing порака. Жртвата е насочена кон легитимниот Microsoft портал (microsoft.com/devicelogin) каде што го внесува кодот. Со тоа се автентицира и се издава валиден OAuth access token на апликацијата на напаѓачот, овозможувајќи му долготраен пристап до Microsoft 365 сметките и корпоративните податоци.

Во последните месеци, phishing кампањи биле насочени и кон финансиски институции во САД, вклучувајќи банки и кредитни унии. Напаѓачите регистрирале .co.com домени што имитираат вистински финансиски институции. Овие домени служат како почетна точка во повеќефазен нападен синџир.

Кога жртвата ќе кликне на линк од phishing порака, се вчитува лажна Cloudflare CAPTCHA страница што ја имитира таргетираната институција. CAPTCHA-та не функционира и намерно создава одложување, по што Base64-енкодирана скрипта ја пренасочува жртвата кон страница за кражба на креденцијали.

За да избегнат детекција и автоматски скенери, директното пристапување до овие домени предизвикува пренасочување кон неправилна „www.www“ URL-адреса. Истражувачите нагласуваат дека напаѓачите користат напреден повеќеслоен механизам за избегнување детекција, вклучувајќи валидација на referrer, контроли базирани на cookies, намерни одложувања и обфускација на кодот, создавајќи поотпорна и потешко анализирачка инфраструктура.

Извори:

  • The Hacker News – Starkiller Phishing Suite Uses AitM Reverse Proxy to Bypass Multi-Factor Authentication The Hacker News