Sicherheitsforscher haben die Phishing-Suite Starkiller aufgedeckt, die legitime Login-Seiten über einen Reverse-Proxy spiegelt und damit MFA-Schutzmaßnahmen umgehen kann. Die von der Gruppe Jinkusu beworbene Plattform senkt die Einstiegshürde für Cyberkriminelle erheblich.
Cybersicherheitsexperten haben Einzelheiten zu Starkiller enthüllt – einer neuen Phishing-Plattform, die Authentifizierungsmechanismen durch einen Reverse-Proxy-Ansatz aushebelt. Die von der Gruppe Jinkusu als Cybercrime-Service beworbene Lösung bietet Nutzern ein Dashboard, über das sie beliebige Marken nachahmen oder echte Website-URLs eingeben können. Zusätzlich lassen sich benutzerdefinierte Keywords wie “Login” oder “Sicherheit” hinterlegen, während URL-Verkürzer wie TinyURL die Zieladresse verschleiern.
Das System nutzt eine in Docker laufende Instanz von Chrome im Headless-Modus, lädt die echte Website des Zielunternehmens und fungiert als Zwischenebene zwischen Opfer und legitimer Seite. “Da Starkiller die echte Website live spiegelt, entstehen keine Template-Dateien, die Sicherheitsanbieter blockieren könnten”, erklären Abnormal-Forscher Callie Baron und Piotr Wojtyla. Diese Technik macht ständige Updates von Phishing-Seiten überflüssig.
Der Container fungiert als Man-in-the-Middle-Reverse-Proxy, der alle Eingaben, Formulare und Session-Token durch die Infrastruktur der Angreifer leitet. Somit werden sämtliche Daten für Account-Übernahmen erfasst. “Die Plattform standardisiert Phishing-Operationen durch ein zentrales Kontrollpanel und kombiniert URL-Verschleierung, Session-Hijacking und MFA-Umgehung – alles aus einer Hand”, fasst Abnormal zusammen.
Parallel dazu beobachtet Datadog eine Weiterentwicklung des 1Phish-Kits: Von September 2025 bis heute hat es sich von einem einfachen Credential-Harvester zu einer Multi-Stage-Lösung entwickelt, die speziell 1Password-Nutzer ins Visier nimmt. Die aktuelle Version enthält Fingerprinting-Layer, Unterstützung für Einmal-Passcodes und Bot-Filter.
Die Sicherheitslandschaft zeigt einen besorgniserregenden Trend: Phishing wird zunehmend als SaaS-Modell angeboten, was auch weniger technisch versierte Kriminelle befähigt. Hinzu kommt eine Kampagne, die den OAuth 2.0-Device-Flow ausnutzt, um Microsoft-365-Konten zu kompromittieren. Dabei registrieren sich Angreifer bei Microsoft OAuth, generieren Device-Codes und versenden diese per Phishing-E-Mail. Opfer werden auf microsoft.com/devicelogin weitergeleitet und geben unwissentlich den attacker-kontrollierten Code ein – worauf ein gültiger Token ausgestellt wird.
Auch US-Finanzinstitute gerieten ins Visier: Zwischen Juni und November 2025 wurden zwei Angriffswellen beobachtet, die gefälschte .co.com-Domains nutzen. Diese laden eine betrügerische Cloudflare-CAPTCHA-Seite, die nach absichtlicher Verzögerung zu Credential-Harvesting-Seiten weiterleitetet. Zur Umgehung automatischer Sicherheitsscanner wird direkter Domain-Zugriff zu fehlerhaften URLs umgeleitet. “Die Angreifer setzen mehrschichtige Evasion ein – mit Referrer-Validierung, Cookie-Kontrollen und Code-Verschleierung – und schaffen damit Abwehrbarrieren gegen automatisierte Sicherheitstools”, resümiert BlueVoyant.
Quelle: The Hacker News