Nowo zidentyfikowana platforma phishingowa Starkiller daje cyberprzestępcom bardziej przekonujący sposób na kradzież danych logowania – wykorzystując prawdziwe strony internetowe, którym ufają ofiary, zamiast ich fałszywych kopii.
Badacze Abnormal AI, Piotr Wojtyła i Callie Baron, twierdzą, że zestaw, sprzedawany przez grupę ukrywającą się pod nazwą Jinkusu, działa jak usługa subskrypcyjna i obniża barierę techniczną dla przeprowadzania na dużą skalę kampanii kradzieży danych uwierzytelniających. Zamiast budować imitacje stron logowania, platforma ładuje legalne witryny na żywo i umiejscawia się między ofiarą a prawdziwą usługą, przechwytując dane w trakcie ich przesyłania.
Raport dodaje, że przestępcy mogą kupić zestaw, który za miesięczną opłatą „działa jako serwer proxy dla prawdziwych stron logowania, omija uwierzytelnianie wieloskładnikowe (MFA) i zapewnia cyberprzestępcom pełną platformę do zbierania danych uwierzytelniających”.
Framework jest sprzedawany przez grupę nazywającą siebie Jinkusu i działa bardziej jak usługa komercyjna niż tradycyjne narzędzie hakerskie.
Żadnych typowych sygnałów ostrzegawczych
Prawdopodobny wpływ jest znaczący, ponieważ to podejście usuwa wiele wizualnych sygnałów ostrzegawczych, na których polegają ludzie, aby rozpoznać phishing.
Ofiarom wyświetlane są autentyczne strony logowania do usług takich jak Microsoft, Google, Apple, Facebook, Amazon, Netflix, PayPal oraz platform bankowych. Obrońcy muszą być w stanie wykrywać sygnały behawioralne: nietypowe wzorce logowania, ponowne użycie tokenów sesji z nieoczekiwanych lokalizacji oraz analizę świadomą tożsamości, która może wychwycić przejętą sesję, nawet jeśli sama strona phishingowa wygląda idealnie.
„Jest to szczególnie ważne na poziomie skrzynki odbiorczej, gdzie analiza kontekstu behawioralnego każdego e-maila – zamiast polegania wyłącznie na zawartości zawartych w nim linków – oferuje najskuteczniejszy sposób powstrzymania tych ataków, zanim dotrą one do użytkowników końcowych”.
Narzędzia cyberprzestępcze w stylu korporacyjnym
Firma Abnormal AI stwierdziła, że pojawienie się narzędzi takich jak Starkiller odzwierciedla szersze przesunięcie w kierunku „utowarowionych narzędzi cyberprzestępczych w stylu korporacyjnym”. Poprzez automatyzację infrastruktury, wdrażania phishingu i monitorowania sesji, platforma obniża barierę wejścia dla atakujących i zwiększa potencjalną skalę kampanii.
Jak ostrzegają badacze, phishing pozostaje jednym z najskuteczniejszych punktów wejścia dla naruszeń bezpieczeństwa – a narzędzia, które wykorzystują prawdziwe strony internetowe w czasie rzeczywistym, sprawiają, że ataki te są trudniejsze do wykrycia niż kiedykolwiek.
Zgodnie z badaniami, „odbiorcom serwowana jest autentyczna zawartość strony bezpośrednio przez infrastrukturę atakującego, co gwarantuje, że strona phishingowa nigdy nie jest nieaktualna”.
System przekazuje próby uwierzytelnienia w czasie rzeczywistym, dzięki czemu może również obejść uwierzytelnianie wieloskładnikowe (MFA).
„Ponieważ użytkownik końcowy w rzeczywistości uwierzytelnia się na prawdziwej stronie za pośrednictwem serwera proxy, wszelkie jednorazowe kody lub tokeny uwierzytelniające, które przesyła, są przekazywane do legalnej usługi w czasie rzeczywistym” – zauważają badacze.
Platforma wydaje się być zaprojektowana z myślą o skalowaniu. Jest wprowadzana na rynek, aktualizowana i wspierana przez ekosystem społecznościowy, w którym operatorzy dzielą się taktykami i rozwiązują problemy z wdrożeniami.
Raport stwierdza, że „Jinkusu prowadzi forum społecznościowe, na którym cyberprzestępcy omawiają techniki, proszą o nowe funkcje i rozwiązują problemy z wdrożeniami”, co wskazuje na aktywną i rosnącą bazę użytkowników.
Maskowanie adresów URL
Według badaczy, Starkiller działa jako „człowiek pośrodku” (man-in-the-middle) pomiędzy ofiarą a legalną stroną internetową.
Platforma uruchamia „instancję bezgłową przeglądarki Chrome” (headless Chrome instance) – przeglądarkę, która działa bez widocznego okna – wewnątrz kontenera Docker, ładuje prawdziwą stronę internetową marki i działa jako odwrotne proxy (reverse proxy) między celem a legalną stroną.
Oznacza to, że to, co widzi ofiara, to legalna strona, która jest renderowana w czasie rzeczywistym, ale w przeglądarce załadowany jest serwer atakującego, gdzie rzeczywisty adres URL nie jest widoczny.
Tymczasem po stronie cyberprzestępcy, pulpit nawigacyjny „Aktywne cele” (Active Targets) pokazuje sesję ofiary w czasie rzeczywistym, w tym jej lokalizację, typ urządzenia, adres IP oraz informację, czy sesja jest nadal aktywna. Z tego widoku atakujący mogą oglądać sesję na żywo, wstrzykiwać dodatkowe monity w celu zebrania większej ilości danych lub całkowicie zakończyć sesję – a ofiara nigdy się o tym nie dowiaduje.
Szczególnie zwodniczą funkcją jest maskowanie adresów URL. Zestaw generuje linki, które wydają się należeć do zaufanych marek, jednocześnie kierując ruch gdzie indziej.
„Wszystko przed znakiem @ w adresie URL jest traktowane jako informacje o użytkowniku i jest wyraźnie wyświetlane, podczas gdy rzeczywista domena następuje po nim”.
Abnormal AI
Skrócone linki dodatkowo ukrywają miejsce docelowe, utrudniając użytkownikom i zautomatyzowanym narzędziom wykrycie zagrożenia.
Ludzie muszą uważać na nieoczekiwane e-maile z prośbą o logowanie lub udostępnianie dokumentów; linki, które wydają się legalne, ale zawierają dodatkowe słowa, symbole lub skrócone adresy URL; monity o uwierzytelnienie, których sami nie zainicjowali, a także alerty o nowych logowaniach lub żądaniach MFA wyrwanych z kontekstu.
Obrońcy muszą być w stanie wykrywać sygnały behawioralne: nietypowe wzorce logowania, ponowne użycie tokenów sesji z nieoczekiwanych lokalizacji oraz analizę świadomą tożsamości, która może wychwycić przejętą sesję, nawet jeśli sama strona phishingowa wygląda idealnie.
„Jest to szczególnie ważne na poziomie skrzynki odbiorczej, gdzie analiza kontekstu behawioralnego każdego e-maila – zamiast polegania wyłącznie na zawartości zawartych w nim linków – oferuje najskuteczniejszy sposób powstrzymania tych ataków, zanim dotrą one do użytkowników końcowych”.
Narzędzia cyberprzestępcze w stylu korporacyjnym
Firma Abnormal AI stwierdziła, że pojawienie się narzędzi takich jak Starkiller odzwierciedla szersze przesunięcie w kierunku „utowarowionych narzędzi cyberprzestępczych w stylu korporacyjnym”. Poprzez automatyzację infrastruktury, wdrażania phishingu i monitorowania sesji, platforma obniża barierę dla atakujących i zwiększa potencjalną skalę kampanii.
Jak ostrzegają badacze, phishing pozostaje jednym z najskuteczniejszych punktów wejścia dla naruszeń bezpieczeństwa – a narzędzia, które wykorzystują prawdziwe strony internetowe w czasie rzeczywistym, sprawiają, że ataki te są trudniejsze do wykrycia niż kiedykolwiek.
