Starkiller arbeitet nach Darstellung der Abnormal-Forscher Callie Baron und Piotr Wojtyla als sogenannter AitM-Reverse-Proxy (Adversary-in-the-Middle): Der Container leitet die Eingaben des Nutzers von der gefälschten, live betriebenen Seite an die echte Website weiter und gibt deren Antworten zurück. Jeder Tastenanschlag, jede Formularübermittlung und jeder Session-Token läuft dabei über die Infrastruktur der Angreifer und wird zur Kontoübernahme abgegriffen.

Da Starkiller die echte Seite in Echtzeit spiegelt, entfällt die sonst nötige regelmäßige Aktualisierung der Phishing-Vorlagen. Laut Abnormal bündelt die Plattform Infrastrukturverwaltung, das Ausrollen der Phishing-Seiten und die Überwachung von Sitzungen in einer einzigen Steuerkonsole. In Kombination mit URL-Verschleierung, Session-Hijacking und MFA-Umgehung erhielten auch wenig versierte Kriminelle Zugriff auf Angriffsfähigkeiten, die ihnen zuvor verschlossen waren.

Parallel meldet Datadog, dass sich der Phishing-Baukasten 1Phish von einem einfachen Werkzeug zum Abgreifen von Zugangsdaten zu einem mehrstufigen Kit weiterentwickelt habe, das gezielt Nutzer von 1Password angreift. Die neue Version enthält laut dem Forscher Martin McCloskey eine vorgelagerte Fingerprinting- und Validierungsschicht, die Erfassung von Einmalkennwörtern (OTPs) und Wiederherstellungscodes sowie eine Browser-Fingerprinting-Logik zum Aussortieren von Bots. McCloskey wertet dies als bewusste, schrittweise Weiterentwicklung statt bloßer Wiederverwendung von Vorlagen, wobei jede Version auf der vorherigen aufbaue, um Erfolgsquoten zu erhöhen und automatisierte Analysen zu erschweren.

Zeitgleich beobachten Forscher eine Kampagne gegen Unternehmen und Fachleute in Nordamerika, die den OAuth-2.0-Device-Authorization-Grant-Flow missbraucht, um MFA zu umgehen und Microsoft-365-Konten zu kompromittieren. Dabei registriert sich der Angreifer in der Microsoft-OAuth-Anwendung und erzeugt einen Gerätecode, der dem Opfer per Phishing-Mail zugespielt wird. Wie die Forscher Jeewan Singh Jalal, Prabhakaran Ravichandhiran und Anand Bodke schildern, wird das Opfer auf das legitime Microsoft-Portal microsoft.com/devicelogin geleitet, um den vom Angreifer bereitgestellten Code einzugeben. Dadurch authentifiziert sich das Opfer, und die Anwendung des Angreifers erhält ein gültiges OAuth-Zugriffstoken, das dauerhaften Zugang zu den Konten und Unternehmensdaten verschafft.

In den vergangenen Monaten richteten sich Phishing-Kampagnen zudem gegen Finanzinstitute, konkret gegen US-amerikanische Banken und Kreditgenossenschaften. Laut den BlueVoyant-Forschern Shira Reuveny und Joshua Green verlief die Kampagne in zwei Phasen, einer ersten Welle ab Ende Juni 2025 und einer ausgefeilteren ab Mitte November 2025. Die Angreifer registrierten demnach Domains der Form [.]co[.]com, die Websites von Finanzinstituten glaubwürdig nachbildeten und als Einstiegspunkt einer mehrstufigen Kette dienten.

Über einen Link in einer Phishing-Mail lädt die Domain eine gefälschte, nicht funktionsfähige Cloudflare-CAPTCHA-Seite, die das angegriffene Institut imitiert und gezielt eine Verzögerung erzeugt, bevor ein Base64-codiertes Skript zur Seite für das Abgreifen der Zugangsdaten weiterleitet. Direkte Aufrufe der Domains lösen eine Weiterleitung auf eine fehlerhafte “www[.]www”-URL aus. Laut BlueVoyant schafft diese mehrschichtige Verschleierungskette aus Referrer-Prüfung, Cookie-basierten Zugriffskontrollen, bewussten Verzögerungen und Code-Verschleierung eine widerstandsfähigere Infrastruktur, die sowohl automatisierte Werkzeuge als auch die manuelle Analyse behindert.