Der Phishing-Dienst Starkiller ermöglicht es Cyberkriminellen, echte Login-Seiten in Echtzeit zu proxen und dabei Passwörter sowie Zwei-Faktor-Authentifizierung zu umgehen. Die Bedrohung senkt damit die Einstiegshürden für unerfahrene Angreifer erheblich.
Traditionelle Phishing-Angriffe basieren oft auf statischen Kopien von Login-Seiten, die schnell entdeckt und blockiert werden. Mit Starkiller hat sich das Angriffsszenario fundamental verschärft: Der neue Phishing-Service arbeitet als intelligenter Vermittler zwischen Opfer und legitimer Website. Cyberkriminelle generieren täuschend echte URLs, die den offiziellen Domainnamen imitieren – etwa durch das Trick-Format “login.microsoft.com@[maliciousURL]”. Wenn Opfer dieser Link-Falle folgen, laden sie tatsächlich die echte Login-Seite, wissen aber nicht, dass ihre Eingaben durch die Infrastruktur der Angreifer fließen.
Laut einer Analyse des Sicherheitsunternehmens Abnormal AI spinnt Starkiller für jeden Phishing-Angriff dynamisch einen Docker-Container mit einer Chrome-Browser-Instanz auf. Dieser agiert als Man-in-the-Middle-Proxy, leitet alle Benutzereingaben an die legitime Website weiter und protokolliert dabei jeden Tastendruck, jede Formularübermittlung und jeden Session-Token. Das System erfasst sogar die Multi-Faktor-Authentifizierung in Echtzeit: Da der Nutzer sich tatsächlich gegenüber der echten Website authentifiziert – nur eben durch den Angreifer vermittelt – werden alle Authentifizierungstoken erfolgreich weitergeleitet.
Der Service bietet Cyberkriminellen ein umfassendes Dashboard mit Echtzeit-Bildschirmübertragung, Keystroke-Logging, Session-Token-Diebstahl, Geolokalisierung und automatisierten Telegram-Benachrichtigungen bei neuen Zugangsdaten. Betrieben wird Starkiller von der Cybercrime-Gruppe Jinkusu, die ein aktives Forum betreibt, in dem Kunden Techniken diskutieren und Features anfordern.
Was Starkiller besonders gefährlich macht: Das System eliminiert massive Hürden für Anfänger im Cybercrime-Geschäft. Angreifer sparen sich die technische Komplexität beim Aufbau von Phishing-Infrastruktur und umgehen gleichzeitig konventionelle Abwehrmechanismen wie Domain-Blockierungen oder statische Analyse. Experten sehen darin einen alarmierenden Trend hin zu kommerzialisierter, Enterprise-ähnlicher Cybercrime-Technologie, die selbst wenig erfahrene Kriminelle mit bislang unerreichbaren Fähigkeiten ausstattet.
Quelle: Krebs on Security