Um novo kit de phishing chamado Starkiller voltou a ligar os alarmes no mundo da cibersegurança. Pesquisadores descobriram que este serviço não se limita a replicar páginas falsas, mas sim que atua como um intermediário vivo entre a vítima e o site legítimo, o que lhe permite contornar muitas das protecções tradicionais, incluindo a autenticação multifator (MFA).
De acordo com a análise publicada pela Abnormal Security, Starkiller é comercializado como uma plataforma que facilita a criação e gestão de campanhas fraudulentas: a partir de um painel de controle os atacantes podem escolher qual marca suplantar, introduzir o URL real do objetivo ou combinar palavras-chave como "login" ou "verificar" para disfarçar links, além de integrar encurtar o destino final. Você pode ler o relatório de Abnormal aqui: abnormal.ai - Starkiller.
A técnica usada é tecnicamente simples, mas perigosa: é lançado uma instância do Chrome em modo headless dentro de um contentor Docker, carregando a web legítima e o recipiente funciona como um proxy inverso. Desse modo, a vítima visualiza conteúdo genuíno servido pela infraestrutura do atacante e qualquer interação –cada pulsação, envio de formulário e token de sessão – passa por suas mãos. O uso de Chrome headless e contêineres Permite automatizar e escalar esta operação com baixos requisitos técnicos para o operador.
O risco é duplo: por um lado, a página que vê a vítima está sempre atualizada porque está sendo obtida diretamente do site real; por outro, ao não existir modelos estáticos da página falsa, os sistemas de detecção baseados em impressões digitais têm menos possibilidades de identificar a fraude. Abnormal destaca que esta combinação de ofuscação de URL, sequestro de sessões e proxy em tempo real converte o engano em uma ferramenta acessível mesmo para atacantes com poucas habilidades técnicas.
Starkiller encaixa em uma tendência mais ampla: kits de phishing que evoluem para modelos tipo "fraude como serviço", e ao mesmo tempo incorporam técnicas para capturar não só credenciais mas também códigos de um único uso, tokens e outros fatores de autenticação. Um exemplo próximo é a progressão observada pela Datadog no kit 1Phish, que passou de um simples coletor de credenciais para uma plataforma capaz de filtrar bots, capturar OTP e códigos de recuperação, e implementar lógica de impressão de navegador para melhorar as taxas de sucesso. A análise de Datadog explica como cada iteração adiciona controles para evitar a análise automática e aumentar a efetividade: securitylabs.datadoghq.com - 1Phish.
Além disso, não são raras as abordagens que aproveitam protocolos legítimos para obter acesso persistente. Pesquisadores do KnowBe4 documentaram uma campanha que abusa do fluxo de autorização por dispositivo do OAuth 2.0 para convencer usuários de introduzir um código temporário na web legítima da Microsoft; quando a vítima o faz, o atacante recebe um token OAuth válido que lhe concede acesso à caixa de correio ou a dados corporativos. Esse tipo de enganos demonstra que redirecionar a vítima a domínios legítimos não impede a usurpação se o processo de autorização for manipulado: KnowBe4 - campanha que elude MFA.
As instituições financeiras também não foram imunes. Um relatório recente da Blue Voyant descreve campanhas dirigidas a bancos e cooperativas de crédito nos EUA. Os Estados Unidos que utilizaram domínios imitados e cadeias de evasão de múltiplas camadas: captchas falsas, atrasos intencionados, scripts codificados em Base64 e redirecções concebidas para confundir tanto as vítimas como os scanners automáticos. Essa abordagem faz com que o ataque pareça legítimo a olho nu e complica sua detecção por ferramentas automatizadas: bluevoyant.com - campanha contra o sector financeiro.
Diante deste panorama, há uma lição clara: a MFA tradicional baseada em códigos por SMS ou em aplicações OTP pode deixar de ser suficiente se o adversário captura o código em tempo real ou engana o usuário para autorizar um acesso legítimo. Por isso os especialistas insistem em avançar para métodos de autenticação que sejam inerentemente resistentes ao phishing, como os padrões FIDO2 e as chaves de segurança física, que evitam que um terceiro reutilize credenciais ou tokens outorgados para outra sessão. Para aprofundar estes métodos, a Aliança FIDO oferece recursos úteis: fidoalliance.org.
No nível organizacional, as defesas devem combinar controles técnicos com políticas e monitoramento. Isso implica limitar e auditar o registro de aplicativos que podem solicitar tokens, aplicar políticas de consentimento rígidas em plataformas na nuvem, monitorar concessões de OAuth e detectar usos anormais de sessões e tokens. A Microsoft tem documentação sobre o fluxo de código de dispositivo e controles que ajudam a mitigar abusos: learn.microsoft.com - device code flow.
Não há bala de prata: a segurança eficaz contra essas campanhas exige camadas. Filtrado avançado de e-mail, análise do comportamento de links, isolamento de navegação para abrir sites suspeitos em ambientes controlados e uma cultura de consciência entre funcionários reduzem o risco. Também é importante que as organizações contem com detecção e resposta rápidas para revogar permissões e tokens comprometidos e limitar o dano quando ocorrer um incidente.
A indústria avança, e a boa notícia é que a pesquisa publica e o intercâmbio de informações ajudam a identificar padrões e proteger infra-estruturas. A outra face é que a fraude continua profissionalizando-se e tornando-se acessível como serviço, o que obriga a uma resposta coordenada entre fornecedores de segurança, empresas e usuários. Manter-se informado, adotar autenticação resistente ao phishing e monitorar o uso de OAuth e tokens são passos imprescindíveis para não se tornar a próxima vítima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...