Аналитики в области кибербезопасности предупредили о недавно обнаруженном наборе фишинговых инструментов, позволяющем киберпреступникам красть имена пользователей и пароли с помощью инструментария, который имитирует страницы входа в систему в режиме реального времени и обходит многофакторную аутентификацию (MFA).
Исследователи из Abnormal называют его «платформой киберпреступлений коммерческого уровня» — и в этом определении нет преувеличения.
Starkiller распространяется как SaaS-продукт в даркнете: по подписке, с обновлениями и поддержкой через Telegram. Это уже не «скрипт для школьника», а полноценный сервис с клиентским обслуживанием. Причём разработчики отдельно подчёркивают, что их продукт не связан с одноимённым легитимным инструментом для пентестов от BC Security.
Главная особенность Starkiller — не дизайн, а архитектура атаки. Большинство фишинговых кампаний по-прежнему используют статические HTML-копии страниц входа. Такие страницы можно анализировать, добавлять сигнатуры в базы, блокировать по шаблонам.
Starkiller работает иначе. Фишинговая страница поднимается через прокси-сервер, который в режиме реального времени подтягивает настоящий контент легитимного сайта. Жертва фактически видит оригинальную страницу входа — просто трафик проходит через инфраструктуру злоумышленника. Никаких статичных шаблонов, которые можно быстро занести в чёрный список. Никаких «кривых» копий.
Прокси запускается в headless-экземпляре Chrome. Пользователь вводит логин, пароль, одноразовый код — и всё это мгновенно передаётся атакующим. При этом аутентификация проходит на реальном сайте.
Именно поэтому Starkiller способен обходить многофакторную аутентификацию. MFA не «ломают» — её просто проксируют. Пользователь сам вводит одноразовый код на настоящем сайте, только через промежуточный сервер злоумышленника. В результате атакующий получает валидную сессию и доступ к аккаунту.
Набор поддерживает имитацию входа в сервисы Google, Microsoft, Facebook, Apple, Amazon, Netflix, PayPal, банки и другие популярные платформы. Генерируется визуально правдоподобный URL, а злоумышленник может в реальном времени наблюдать за действиями жертвы и перехватывать ввод с помощью кейлоггера.
По данным Abnormal, основной вектор распространения — фишинговые письма, маскирующиеся под легитимные уведомления от Google или Microsoft. И здесь нет ничего «экзотического»: всё начинается с обычного письма, которое выглядит как рутинное оповещение.
Инструменты становятся сложнее, но точка входа остаётся прежней — человек.
Технологически противостоять таким атакам можно: отслеживать аномальные входы, повторное использование токенов сессии, нетипичную географию доступа. Но если сотрудник спокойно вводит учётные данные на поддельном домене, даже продвинутые средства защиты начинают работать уже «после факта».
Обучение сотрудников должно учитывать реальную эволюцию атак. Недостаточно рассказывать про «подозрительные сайты с ошибками». Сегодня пользователь может видеть абсолютно корректную страницу входа — потому что это и есть настоящая страница.
Значит, фокус смещается: на поведенческие маркеры, на понимание механики, на внимательность к URL и контексту запроса, на сценарные тренировки, которые моделируют современные техники, а не атаки пятилетней давности.
Фишинг развивается как индустрия. И защита должна развиваться так же системно — не только на уровне технологий, но и на уровне культуры работы с доступами.