Uma nova ferramenta de Phishing-as-a-Service (PhaaS), batizada de "Starkiller", está sendo oferecida em fóruns clandestinos com a promessa de contornar uma das principais defesas modernas: a autenticação multifator (MFA). O kit se destaca por sua interface amigável e pela técnica de "live proxying", que representa um avanço significativo na eficácia dos ataques de phishing.
Mecanismo de ataque: live proxying
O diferencial do Starkiller é sua capacidade de fazer proxy de sites de login legítimos em tempo real. Em vez de criar uma página de phishing estática que coleta credenciais, o kit atua como um intermediário (proxy) entre a vítima e o site real (como Microsoft 365, Google ou um banco). Quando a vítima insere seu login, senha e até mesmo o código MFA de uso único (OTP), o Starkiller transmite essas informações instantaneamente para o serviço legítimo. Se as credenciais estiverem corretas, o atacante recebe um token de sessão válido, permitindo acesso total à conta, mesmo após a MFA ter sido fornecida pela vítima.
Impacto e alcance
Esta técnica torna as defesas tradicionais de phishing, que buscam por URLs falsos ou páginas maliciosas mal copiadas, muito menos eficazes. Como a vítima está interagindo com o domínio legítimo (mesmo que através de um proxy), os indicadores visuais de segurança, como o cadeado do HTTPS e o nome do domínio, podem parecer autênticos. O Starkiller democratiza esse ataque sofisticado, permitindo que criminosos com pouca expertise técnica lancem campanhas de alto sucesso.
Repercussão para a segurança corporativa
A ascensão de ferramentas como o Starkiller exige uma evolução nas estratégias de defesa. A dependência exclusiva da MFA como camada final de segurança não é mais suficiente. Medidas como o uso de chaves de segurança físicas (FIDO2/WebAuthn), que são resistentes a ataques de phishing por proxy, tornam-se mais críticas. Além disso, o treinamento de conscientização deve evoluir para alertar os usuários sobre esse tipo específico de ameaça, que pode enganar até os mais vigilantes.
Observações e limites
Embora poderoso, o ataque de live proxying não é novo, mas sua commoditização é preocupante. A ferramenta ainda depende de engenharia social para levar a vítima ao site proxy. Ataques de notificação push de MFA ("MFA fatigue") também podem ser combinados com essa técnica. A comunidade de segurança deve monitorar a adoção do Starkiller e outras ferramentas similares, que indicam uma profissionalização e especialização contínuas do cibercrime.