Um framework de phishing altamente sofisticado, chamado Starkiller, está sendo comercializado como um produto de software-as-a-service (SaaS) por um grupo conhecido como Jinkusu. A ferramenta representa uma evolução significativa na técnica de phishing, pois carrega dinamicamente páginas de login reais de marcas legítimas, em vez de usar cópias estáticas, dificultando drasticamente a detecção.
Como o ataque funciona
O ataque começa com e-mails de phishing contendo links maliciosos. Quando a vítima clica, o framework inicia um navegador web oculto dentro de um contêiner seguro para carregar o site real da marca (como um portal de banco ou serviço de e-mail) em tempo real. O servidor do atuante atua como um proxy homem-no-meio, encaminhando as teclas digitadas, senhas e códigos de autenticação multifator (MFA) diretamente para o serviço legítimo.
Como a vítima interage com o site genuíno através do proxy, a experiência é idêntica a um login normal, permitindo o bypass completo do MFA e levando a tomadas de conta rápidas e sequestro de sessão.
Capacidades e evasão
O Starkiller também inclui ferramentas especializadas para fraude financeira, capturando detalhes de cartão de crédito e frases de recuperação de carteiras de criptomoedas. A plataforma gera endereços web enganosos que imitam visualmente domínios confiáveis e usa técnicas avançadas de ofuscação de links, como encurtadores e truques visuais, para enganar usuários e scanners de segurança automatizados.
Analistas da Abnormal Security, que identificaram o kit, destacam que as defesas tradicionais baseadas em análise estática de páginas e reputação de domínio são ineficazes, pois o framework elimina os arquivos estáticos que os defensores normalmente bloqueiam.
Estratégias de defesa recomendadas
Para combater essa ameaça, as equipes de segurança devem migrar de uma dependência exclusiva de indicadores estáticos para soluções conscientes de identidade que monitorem anomalias comportamentais. A recomendação é rastrear ativamente locais de login incomuns, atributos de dispositivo inesperados e instâncias de reutilização de tokens de sessão.
O foco deve estar em sinais comportamentais, como a velocidade de preenchimento de formulários, a sequência de ações do usuário e a correlação entre a identidade declarada e o comportamento típico, para detectar e bloquear esses comprometimentos dinâmicos de forma confiável.