Ein neues Phishing-Kit namens Starkiller hat die Alarme in der Cyber-Sicherheits-Welt gedreht. Forscher haben festgestellt, dass dieser Dienst nicht auf die Replikation von falschen Seiten beschränkt ist, sondern dass wirkt als lebendiger Vermittler zwischen dem Opfer und der legitimen Website, die es Ihnen ermöglicht, viele der traditionellen Schutzarten zu vermeiden, einschließlich Multifaktor-Authentifizierung (MFA).
Laut der von Abnormal Security veröffentlichten Analyse wird Starkiller als Plattform vermarktet, die die Erstellung und Verwaltung von betrügerischen Kampagnen erleichtert: von einem Bedienfeld können Angreifer wählen, welche Marke zu pflanzen, die eigentliche Ziel-URL eingeben oder Keywords wie "Login" oder "verify" kombinieren, um Links zu verkleiden, sowie Verkürzungen zu integrieren, um das endgültige Ziel zu verbergen. Sie können Abnormals Bericht hier lesen: anormal.ai - Starkiller.
Die Technik, die es verwendet, ist technisch einfach, aber gefährlich: eine kopflose Chrome-Instanz wird in einen Docker-Container gestartet, das legitime Web geladen und der Container arbeitet als Proxy-Inverse. Auf diese Weise visualisiert das Opfer echte Inhalte, die von der Infrastruktur des Angreifers bedient werden, und jede Interaktion - jede Push-, Sendeform und Session-Token - geht durch seine Hände. Verwendung Chrom Kopflos und Behälter ermöglicht die Automatisierung und Skala dieser Operation mit geringen technischen Anforderungen für den Bediener.
Das Risiko ist doppelt: Zum einen wird die Seite, die das Opfer sieht, immer aktualisiert, weil es direkt von der realen Seite erhalten wird; zum anderen, weil es keine statischen Vorlagen der gefälschten Seite gibt, haben Fingerabdruck-basierte Erkennungssysteme weniger Chancen, den Betrug zu identifizieren. Abnormal weist darauf hin, dass diese Kombination von URL der Anwendung, Sitzung Entführung und Echtzeit-Proxy ein zugängliches Werkzeug auch für Angreifer mit wenigen technischen Fähigkeiten macht.
Starkiller passt zu einem breiteren Trend: Phishing Kits, die sich zu "Betd as Service"-Modellen entwickeln, während Techniken enthalten, um nicht nur Anmeldeinformationen, sondern auch Single-Use-Codes, Token und andere Authentifizierungsfaktoren zu erfassen. Ein enges Beispiel ist die Progression, die von Datadog im 1Phish-Kit beobachtet wird, die von einem einfachen Anmeldeinformationen-Sammler zu einer Plattform geleitet wird, die Bots filtern, OTP- und Recovery-Codes erfassen und Browser-Fußabdruck-Logik implementieren, um die Erfolgsraten zu verbessern. Datadog Analyse erklärt, wie jede Iteration Kontrollen hinzufügt, um eine automatische Analyse zu vermeiden und die Wirksamkeit zu erhöhen: Sicherheitlabs.datadoghq.com - 1Phish.
Darüber hinaus sind Ansätze, die legitime Protokolle verwenden, um dauerhaften Zugriff zu erhalten, nicht selten. Wissen Be4-Forscher dokumentierten eine Kampagne, die den OAuth 2.0-Gerätefreigabefluss missbraucht, um die Nutzer davon zu überzeugen, einen temporären Code in die legitime Website von Microsoft einzutragen; wenn das Opfer es tut, erhält der Angreifer ein gültiges OAuth-Token, das ihm Zugriff auf die Mailbox oder Unternehmensdaten gibt. Diese Art der Täuschung zeigt, dass die Umleitung des Opfers auf legitime Domänen keine Usurpation verhindert, wenn der Autorisierungsprozess manipuliert wird: KnowBe4 - Kampagne, die MFA eluiert.
Finanzinstitute waren auch nicht immun. Ein neuer Bericht von BlueVoyant beschreibt Kampagnen für Banken und Kreditgenossenschaften in den USA. UU benutzte imitierte Domänen und mehrschichtige Fluchtketten: falsche Captches, absichtliche Verzögerungen, Base64-codierte Skripte und Lesetexte, die sowohl Opfer als auch Scanner verwirren sollen. Dieser Ansatz macht den Angriff legitim für das bloße Auge und erschwert seine Erkennung durch automatisierte Werkzeuge: bluevoyant.com - Kampagne gegen den Finanzsektor.
Im Hinblick auf dieses Szenario gibt es eine klare Lektion: Die traditionelle MFA auf Basis von SMS-Codes oder OTP-Anwendungen kann nicht mehr ausreichen, wenn der Gegner den Code in Echtzeit erfasst oder den Benutzer verführt, um einen legitimen Zugriff zu ermöglichen. Aus diesem Grund bestehen Experten darauf, sich auf Authentifizierungsmethoden zu bewegen, die inhärent gegen Phishing beständig sind, wie z.B. FIDO2-Standards und physische Sicherheitsschlüssel, die verhindern, dass ein Dritter die für eine andere Sitzung erteilten Anmeldeinformationen oder Token wieder verwendet. Um diese Methoden zu vertiefen, bietet die FIDO Alliance nützliche Ressourcen: fidoalliance.org.
Die Verteidigung muss auf organisatorischer Ebene technische Kontrollen mit Politik und Überwachung kombinieren. Dies bedeutet, die Registrierung von Anwendungen zu beschränken und zu prüfen, die Token anfordern können, strenge Zustimmungsrichtlinien auf Cloud-Plattformen anwenden, OAuth-Konzessionen überwachen und anormale Verwendungen von Sitzungen und Token erkennen können. Microsoft hat Dokumentation über den Fluss von Gerätecode und Kontrollen, die helfen, Missbrauch zu mindern: lernen.
Es gibt keine Silberkugel: effektive Sicherheit gegen diese Kampagnen erfordert Schichten. Erweiterte Mail-Filterung, Link-Verhaltensanalyse, Navigationsisolation zu öffnen verdächtige Standorte in kontrollierten Umgebungen und eine Mitarbeiterbewusstseinskultur reduzieren das Risiko. Es ist auch wichtig, dass Organisationen schnelle Erkennung und Reaktion auf die Rücknahme von begangenen Genehmigungen und Token haben und Schäden begrenzen, wenn ein Vorfall auftritt.
Die Branche bewegt sich voran, und die gute Nachricht ist, dass der öffentliche Forschungs- und Informationsaustausch dazu beiträgt, Muster zu identifizieren und die Infrastruktur zu schützen. Die andere Seite ist, dass Betrug weiterhin professionalisiert und als Service zugänglich gemacht wird, was eine koordinierte Reaktion zwischen Sicherheitsanbietern, Unternehmen und Nutzern erfordert. Informationen zu erhalten, phishing-resistente Authentifizierung und Überwachung der Verwendung von OAuth und Token sind wesentliche Schritte, nicht zum nächsten Opfer zu werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...