Starkiller bietet laut Abnormal AI eine durchgängige Phishing-Suite, die mit Techniken zur Verschleierung von URLs beginnt. Über eine grafische Oberfläche wählen Nutzer eine bekannte Marke aus, die sie imitieren wollen – von Apple über PayPal bis Instagram – und ergänzen ein Schlagwort wie “login” oder “security”, passend zur Masche.
Da eine Domain wie “login.apple.com” für Angreifer nicht verfügbar ist, greift Starkiller auf zwei klassische Tricks zurück: Es bindet URL-Verkürzer ein und nutzt die “@"-Technik. Browser behandeln Zeichen vor einem @-Symbol in einer URL als harmlose Nutzerangaben, zeigen sie aber prominent an. So lässt sich eine gefälschte, legitim wirkende Hälfte der Domain voranstellen, während die tatsächliche Zieldomain in den Hintergrund tritt.
Klickt ein Opfer auf den Link, landet es nicht auf einer aufwendig nachgebauten Seite, sondern auf der echten Website, die es ansteuern wollte. Diese wird jedoch durch die Cloud-Infrastruktur des Angreifers geleitet: Starkiller startet einen Docker-Container mit einer Headless-Instanz von Chrome. Gibt das Opfer seine Anmeldedaten oder sogar einen MFA-Code ein, gelangt es erfolgreich in sein Konto. Gleichzeitig erbeutet der Angreifer die eingegebenen Zugangsdaten und den Session-Token, der dem Opfer nach bestandener MFA-Prüfung ausgestellt wurde, und kann sich damit ebenfalls anmelden.
Der gesamte Vorgang läuft weitgehend automatisiert. Abgesehen von der Wahl des zu imitierenden Dienstes muss ein Starkiller-Nutzer im Wesentlichen nur die Infektionen über die Oberfläche verfolgen. “Neu ist nicht ein einzelnes Feature, sondern die Architektur und Verpackung”, sagt Callie Baron, Senior Content Marketing Manager für Threat Intelligence bei Abnormal AI. Starkiller verwandle hochwertiges Reverse-Proxy-Handwerk in einen schlüsselfertigen, SaaS-artigen Arbeitsablauf, der die Einstiegshürde drastisch senke und die üblichen Schwachstellen beseitige, auf die sich Verteidiger verließen.
Die Technik, echte Login-Seiten weiterzuleiten, erspart den Nutzern den Aufwand, eigene Phishing-Seiten zu gestalten, und schützt sie vor dem “Template Drift” – dem Zwang, nachgebaute Seiten an Änderungen der Originale anzupassen.
Vor allem aber zeige Starkiller, warum traditionelle Erkennungsansätze wie statische Seitenanalyse, Sperrlisten und reputationsbasierte URL-Filter zu kurz greifen können, so Baron. Da Starkiller echte Anmeldeseiten live weiterleite und keine geklonte Vorlage ausliefere, gebe es oft keinen stabilen Fingerabdruck einer Phishing-Seite, an dem sich der Angriff festmachen lasse; für das Opfer sei das Erlebnis von einer legitimen Anmeldung kaum zu unterscheiden.
Aus Barons Sicht steht Starkiller für eine breitere Verschiebung der Phishing-Infrastruktur hin zu sitzungsbewussten Kompromittierungen in Echtzeit. Unternehmen müssten daher zu verhaltens- und identitätsbasierter Erkennung übergehen: Sie sollten auf auffällige Anmeldungen, die Wiederverwendung von Session-Token, unmögliche Reisemuster und weitere Anzeichen kompromittierter Sitzungen achten – selbst wenn die MFA technisch abgeschlossen wurde und die Login-Seite legitim aussah. “Wenn Verteidiger nur fragen, ob die MFA abgeschlossen wurde, stellen sie die falsche Frage”, argumentiert sie. Entscheidender sei, ob sich die authentifizierte Sitzung selbst wie der legitime Nutzer verhalte.
