Investigadores de ciberseguridad han revelado detalles de una nueva suite de phishing llamada Starkiller que elude las protecciones de autenticación multifactor (MFA) al utilizar páginas de inicio de sesión legítimas.
Un grupo de amenazas que se hace llamar Jinkusu la promueve como una plataforma de cibercrimen, y los clientes tienen acceso a un panel donde pueden seleccionar marcas para hacerse pasar por ellas e ingresar las URL reales de las marcas. También permite a los usuarios seleccionar palabras clave personalizadas como «inicio de sesión», «verificación», «seguridad» y «cuenta», e integra acortadores de URL como TinyURL para ofuscar las URL de destino.
«El virus lanza una instancia de Chrome sin cabeza (un navegador que se ejecuta sin ventana) dentro de un contenedor Docker, carga el sitio web real de la marca y actúa como un proxy inverso entre el sitio objetivo y el legítimo», dijeron los investigadores anormales Callie Baron y Piotr Wojtyla.
«Las páginas de phishing nunca se vuelven obsoletas porque a los destinatarios se les entrega el contenido de la página real directamente a través de la infraestructura del atacante. Y debido a que Starkiller representa sitios reales en vivo, no hay archivos de plantilla para que los proveedores de seguridad tomen huellas dactilares o incluyan listas de bloqueo».
Esta técnica de proxy de página de inicio de sesión elimina la necesidad de que los atacantes actualicen periódicamente sus plantillas de páginas de phishing cuando se actualiza la página real que están suplantando.
En otras palabras, el contenedor actúa como un proxy inverso de AitM, reenviando la entrada del usuario final en la página en vivo falsificada al sitio legítimo y devolviendo la respuesta del sitio. En el interior, cada pulsación de tecla, envío de formulario y token de sesión se enruta a través de una infraestructura controlada por el atacante y se captura para tomar el control de la cuenta.
«Esta plataforma agiliza las operaciones de phishing al centralizar la administración de la infraestructura, la implementación de páginas de phishing y el monitoreo de sesiones dentro de un panel de control», dijo Abnormal. «Combinado con el enmascaramiento de URL, el secuestro de sesiones y la omisión de MFA, esto permite a los ciberdelincuentes poco cualificados acceder a capacidades de ataque que antes estaban fuera de su alcance».
El desarrollo se produce después de que Datadog revelara que el kit 1Phish evolucionó de un recolector de credenciales básico a un kit de phishing de varias etapas dirigido a los usuarios de 1Password en septiembre de 2025.
La versión actualizada del kit incluye una capa de verificación y huellas dactilares previa al phishing, soporte para código de acceso de un solo uso (OTP) y captura de código de recuperación, y lógica de huellas dactilares del navegador para filtrar bots.
«Esta progresión refleja una repetición deliberada en lugar de una simple reutilización de plantillas», dijo el investigador de seguridad Martin McCloskey. «Cada versión se basa en la anterior e introduce controles diseñados para aumentar las tasas de conversión, reducir el análisis automatizado y admitir la recopilación de autenticación secundaria».
Este hallazgo muestra que soluciones turcas como Starkiller y 1Phish están convirtiendo cada vez más el phishing en un flujo de trabajo estilo SaaS, lo que reduce aún más la barrera de habilidades necesarias para ejecutar dichos ataques a escala.
También es consistente con una sofisticada campaña de phishing dirigida a empresas y profesionales en América del Norte mediante la explotación del flujo de concesión de autorización de dispositivos OAuth 2.0 para evitar la autenticación multifactor (MFA) y comprometer las cuentas de Microsoft 365.
Para lograr esto, el atacante se registra en una aplicación Microsoft OAuth y genera un código de dispositivo único, que luego se entrega a la víctima a través de un correo electrónico de phishing dirigido.
«Las víctimas son dirigidas a un portal de dominio legítimo de Microsoft (microsoft.com/devicelogin) e ingresan el código del dispositivo proporcionado por el atacante», dijeron los investigadores Jeewan Singh Jalal, Prabhakaran Ravichandhiran y Anand Bodke. «Esta acción autentica a la víctima y emite un token de acceso OAuth válido a la aplicación del atacante. Estos tokens se roban en tiempo real, otorgando al atacante acceso permanente a la cuenta de Microsoft 365 y a los datos corporativos de la víctima».
En los últimos meses, las campañas de phishing también se han dirigido a instituciones financieras, en particular bancos y cooperativas de crédito con sede en Estados Unidos, para obtener credenciales. Se dice que la campaña tuvo lugar en dos fases distintas: una ola inicial que comenzó a finales de junio de 2025 y una serie de ataques más sofisticados que comenzaron a mediados de noviembre de 2025.
«Los actores de amenazas han comenzado a registrar dominios (.)co(.)com que falsifican sitios web de instituciones financieras, haciéndose pasar por instituciones financieras reales», dijeron los investigadores de BlueVoyant, Sheila Reuveny y Joshua Green. «Estos dominios (.)co(.)com sirven como el primer punto de entrada en una sofisticada cadena de varias etapas».
Este dominio está diseñado para cargar una página CAPTCHA de Cloudflare maliciosa que imita a la institución objetivo cuando se accede a ella a través de un enlace en el que se puede hacer clic en un correo electrónico de phishing. CAPTCHA no funciona y hay un retraso intencional antes de que el script codificado en Base64 redirija al usuario a la página de captura de credenciales.
Para evitar la detección y evitar que los escáneres automáticos detecten contenido malicioso, visitar el dominio (.)co(.)com directamente activará una redirección a una URL «www(.)www» con formato incorrecto.
«El despliegue de cadenas de evasión multicapa más sofisticadas por parte de los adversarios que incorporan validación de referencias, controles de acceso basados en cookies, retrasos intencionales y ofuscación de códigos crean efectivamente una infraestructura más resistente que crea barreras a las herramientas de seguridad automatizadas y al análisis manual», dijo BlueVoyant.
Source link
