Während gängige Phishing-Baukästen vom Anwender noch einiges an Konfiguration von Servern, Domains, Zertifikaten und Proxy-Diensten verlangen, automatisiert Starkiller diese Arbeit. Der Dienst lädt eine Live-Kopie der echten Login-Seite, zeichnet alle Eingaben des Nutzers auf und leitet die Daten zwischen legitimer Seite und Opfer hin und her.

Für die Tarnung der Links setzt Starkiller auf einen alten Trick mit dem „@"-Zeichen: Ein gegen Microsoft-Kunden gerichteter Link erscheint etwa als „login.microsoft.com@[schädliche/gekürzte URL]". Alles vor dem „@" wird vom Browser als Benutzername-Angabe behandelt, die tatsächliche Zielseite steht dahinter. Laut Abnormal endete die im Beispiel gezeigte schädliche Seite auf „.ru"; der Dienst erlaubt zudem das Einbinden verschiedener URL-Kürzungsdienste.

Wählt ein Kunde die zu phishende URL aus, startet Starkiller laut Abnormal einen Docker-Container mit einer Instanz des Browsers Chrome im Headless-Modus, der die echte Login-Seite lädt. „Der Container fungiert dann als Man-in-the-Middle-Reverse-Proxy und leitet die Eingaben des Endnutzers an die legitime Seite weiter und gibt deren Antworten zurück", schreiben die Abnormal-Forscher Callie Baron und Piotr Wojtyla in einem Blogbeitrag. Jeder Tastenanschlag, jede Formularübermittlung und jedes Sitzungs-Token laufe über die von den Angreifern kontrollierte Infrastruktur und werde dabei protokolliert.

Den Angreifern bietet der Dienst nach Darstellung der Forscher eine Echtzeit-Überwachung der Sitzung, einschließlich einer Live-Übertragung des Opfer-Bildschirms. Hinzu kämen ein Keylogger für jeden Tastenanschlag, der Diebstahl von Cookies und Sitzungs-Tokens zur direkten Kontoübernahme, eine Geo-Ortung der Ziele sowie automatische Telegram-Benachrichtigungen bei neuen Zugangsdaten. Eine Kampagnen-Auswertung mit Besuchszahlen, Konversionsraten und Leistungsdiagrammen runde das Angebot ab — vergleichbar mit dem Dashboard einer legitimen SaaS-Plattform.

Auch die MFA-Schutzmechanismen lassen sich so aushebeln. Weil die übermittelten Authentifizierungs-Token in Echtzeit an den echten Dienst weitergeleitet werden, fängt der Angreifer die daraus entstehenden Sitzungs-Cookies und Tokens ab und erhält damit authentifizierten Zugriff auf das Konto. „Wenn Angreifer den gesamten Authentifizierungsablauf in Echtzeit weiterleiten, können MFA-Schutzmaßnahmen praktisch ausgehebelt werden — obwohl sie genau so funktionieren, wie sie entworfen wurden", schreiben die Forscher.

Starkiller ist nur eines von mehreren Angeboten einer Gruppe, die sich Jinkusu nennt und ein aktives Nutzerforum betreibt, in dem Kunden Techniken diskutieren, Funktionen anfragen und Probleme beheben. Eine zubuchbare Funktion sammelt E-Mail-Adressen und Kontaktdaten aus kompromittierten Sitzungen, die laut Anbieter für Zielisten weiterer Phishing-Kampagnen genutzt werden können.

Abnormal wertet den Dienst als deutliche Eskalation bei der Phishing-Infrastruktur und als Ausdruck eines Trends hin zu kommerzialisierten, unternehmensartigen Cybercrime-Werkzeugen. In Kombination mit URL-Tarnung, Sitzungsübernahme und MFA-Umgehung verschaffe er auch wenig versierten Kriminellen Angriffsfähigkeiten, die ihnen bisher verschlossen waren.