Starkiller釣魚框架採AiTM反向代理,轉送真實登入頁面繞過MFA
框架運作機制
在實作上,該框架會在Docker容器中啟動無頭模式Chrome瀏覽器,載入目標品牌官方網站,再透過反向代理方式,即時將真實網站畫面轉送給受害者。由於頁面內容與真實網站一致,攻擊者可有效避免被識別為仿冒頁面。
技術細節與攻擊路徑
- 當Starkiller的客戶選定要被釣魚的URL後,這服務就會啟動一個Docker容器,裡面跑著一個無頭Chrome瀏覽器實例,載入真的登入頁面。
- 該工具採用AiTM反向代理技術,攔截驗證後的連線階段資訊,進而繞過多因素身份驗證(MFA)並可能導致Microsoft 365等系統遭竊取登入資訊。
- 這種登入頁面代理技術避免了攻擊者需要定期更新其釣魚頁面模板,因為他們冒充的真實頁面會不斷更新。
來源與背景
電子郵件防護業者Abnormal AI於2月19日發布威脅分析指出,一套名為Starkiller的釣魚框架正在地下市場流通。該工具由自稱Jinkusu的威脅團體推廣與維運,並以SaaS服務形式提供控制臺與技術支援,使攻擊者無需自行建置仿冒網站或代理基礎設施,即可快速部署高逼真度的釣魚攻擊。
研究人員同時提醒,該釣魚框架名稱與資安顧問公司BC Security推出的合法紅隊測試工具Starkiller相同,但兩者用途與性質截然不同。