Starkiller Phishing Suite 使用 AitM 反向代理 绕过 多因素认证

Source: The Hacker News

请提供您希望翻译的具体文本内容，我将按照要求保留源链接并进行简体中文翻译。

Starkiller Phishing Suite 概览

网络安全研究人员披露了一款名为 Starkiller 的新钓鱼套件细节，该套件通过代理合法登录页面来绕过多因素认证（MFA）保护。

它被一个自称 Jinkusu 的威胁组织宣传为网络犯罪平台，向客户提供一个仪表板，允许他们：

• 选择要冒充的品牌或输入品牌的真实 URL。
• 选择自定义关键字，如 “login”、 “verify”、 “security” 或 “account”。
• 集成 URL 缩短服务（例如 TinyURL）以隐藏目标 URL。

“它启动一个 headless Chrome 实例——一种没有可见窗口的浏览器——在一个 Docker 容器 中，加载品牌的真实网站，并在目标与合法站点之间充当反向代理，” Abnormal 研究员 Callie Baron 和 Piotr Wojtyla 表示。¹

“受害者收到的是真正的页面内容，直接通过攻击者的基础设施传递，确保钓鱼页面永不失效。由于 Starkiller 实时代理真实站点，安全厂商没有模板文件可用于指纹识别或列入黑名单。”

这种登录页面代理技术消除了攻击者在合法页面更改时必须更新钓鱼页面模板的需求。

Starkiller 的工作原理

容器充当 MITM 反向代理，将用户在伪造的实时页面上输入的内容转发到合法站点，并返回站点的响应。在内部，每一次按键、表单提交以及会话令牌都会通过攻击者控制的基础设施进行路由，并被捕获以实现账户劫持。

“该平台通过在单一控制面板中集中基础设施管理、钓鱼页面部署和会话监控，简化了钓鱼操作，” Abnormal said。 “结合 URL 掩码、会话劫持和 MFA 绕过，它为低技术水平的网络犯罪分子提供了此前难以触及的攻击能力。”

与 1Phish 套件的比较

Starkiller 的开发正值 Datadog 揭露 1Phish 套件已从最初的凭证收集器（2025 年 9 月）演进为针对 1Password 用户的多阶段钓鱼套件。更新后的版本新增了：

• 预钓鱼指纹识别和验证层。
• 支持捕获一次性密码（OTP）和恢复代码。
• 浏览器指纹识别逻辑，用于过滤机器人。

“这一演进体现了有意的迭代，而非简单的模板复用，”安全研究员 Martin McCloskey 表示。² “每个版本都在前一个基础上构建，引入旨在提升转化率、降低自动化分析以及支持二次认证信息收集的控制措施。”

Starkiller 与 1Phish 均展示了向 SaaS 式钓鱼工作流的转变，降低了发动大规模攻击所需的技术门槛。

OAuth 2.0 设备授权授权流程攻击

一个针对北美企业的高度复杂的网络钓鱼活动一直在滥用 OAuth 2.0 设备授权授权流程，以规避 MFA 并危及 Microsoft 365 账户。攻击者在 Microsoft OAuth 平台上注册恶意应用，并生成唯一的 device code。该代码通过有针对性的钓鱼邮件发送给受害者。

“受害者被引导至合法的 Microsoft 域（microsoft.com/devicelogin）门户，输入 攻击者提供的设备代码，” 研究人员 Jeewan Singh Jalal、Prabhakaran Ravichandhiran 和 Anand Bodke 说。[^^3] “此操作会对受害者进行身份验证，并向攻击者的应用颁发有效的 OAuth 访问令牌。对这些令牌的实时窃取使攻击者能够持久访问受害者的 Microsoft 365 账户和企业数据。”

金融机构网络钓鱼活动

近几个月出现了针对美国银行和信用合作社的网络钓鱼活动。该行动分为两个阶段：第一波始于2025年6月下旬，第二波则是更为复杂的攻击，从2025年11月中旬开始。

“攻击者开始注册 .co.com 域名，伪装成金融机构网站，呈现出可信的真实金融机构冒充，” BlueVoyant 研究员 Shira Reu 说。

Veny 和 Joshua Green 表示：

“这些 [.]co[.]com 域名是精细化多阶段链的初始入口。”³

当受害者点击钓鱼邮件中的链接访问该域名时，页面会加载一个伪造的 Cloudflare CAPTCHA 页面，模仿目标机构的外观。该 CAPTCHA 并不具备功能，且故意延迟受害者的操作，随后一个 Base64 编码的脚本会重定向到收集凭证的页面。直接访问 [.]co[.]com 域名会触发重定向到一个格式错误的 “www[.]www” URL，进一步规避自动化扫描器。

“对手部署了更高级的多层规避链——包括引用者验证、基于 Cookie 的访问控制、刻意的延迟以及代码混淆——有效地构建了更具韧性的基础设施，为自动化安全工具和人工分析设置了障碍，” BlueVoyant 说。

保持了解

觉得这篇文章有趣吗？关注我们获取更多独家内容：

• Google News
• Twitter
• LinkedIn

Footnotes

1. Callie Baron 和 Piotr Wojtyla，Abnormal – Starkiller Phishing Kit，link。 ↩

2. Martin McCloskey，Datadog – Hook Line Vault: A Deep Dive into 1Phish，link。 ↩

3. BlueVoyant，“多阶段网络钓鱼活动针对金融”，https://www.bluevoyant.com/blog/multi-stage-phishing-campaign-targets-finance。 ↩