0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Зачем рисовать подделки, когда оригинал сдают в аренду. Хакеры убили саму концепцию двухфакторной аутентификации

Starkiller Jinkusu Docker Chrome MFA фишинг прокси
Зачем рисовать подделки, когда оригинал сдают в аренду. Хакеры убили саму концепцию двухфакторной аутентификации
Starkiller Jinkusu Docker Chrome MFA фишинг прокси

Теперь код подтверждения уходит грабителям без малейших задержек.

image

На подпольных площадках появился новый инструмент для фишинга под названием Starkiller, который в корне меняет механику кражи учётных данных. Вместо создания поддельных страниц входа злоумышленники используют реальные сайты и транслируют их в режиме реального времени через свою инфраструктуру. Такой подход позволяет перехватывать логины, пароли и одноразовые коды, обходя многофакторную аутентификацию и затрудняя обнаружение атаки.

Проект продвигает группировка Jinkusu, позиционируя его как коммерческую платформу по модели SaaS. Разработчики подчёркивают высокий процент успешных атак и регулярно обновляют продукт. При этом инструмент не связан с легальным одноимённым решением компании BC Security.

В основе схемы лежит запуск браузера Chrome в режиме без графического интерфейса внутри контейнера Docker. Оператор указывает адрес сайта целевого бренда, после чего система разворачивает окружение и загружает подлинную страницу входа. Дальше инфраструктура злоумышленников начинает работать как обратный прокси, передавая данные между жертвой и настоящим сайтом. Весь трафик проходит через сервер атакующих, что даёт им доступ к учётным данным, cookie и токенам сессии.

Поскольку пользователь фактически авторизуется на реальном ресурсе, одноразовые коды и другие элементы многофакторной защиты уходят на легитимный сервис без задержек. В ответ злоумышленники получают действующие сессионные данные и могут войти в учётную запись, не ломая сам механизм MFA. Такой подход лишает традиционные средства детектирования возможности опираться на анализ шаблонов страниц — поддельного HTML здесь просто нет.

Панель управления предлагает не только перехват логинов и паролей. Операторы видят активные сессии в реальном времени, получают уведомления через Telegram, отслеживают геолокацию и устройство жертвы. В рекламных материалах заявлены модули для сбора банковских реквизитов, данных карт и сид-фраз криптокошельков. Отдельный инструмент маскирует ссылки, имитируя домены популярных сервисов, включая Microsoft, Google и другие крупные платформы. Для усложнения анализа применяются сервисы сокращения URL и классический приём с символом @, который скрывает настоящий адрес.

Система автоматизирует управление контейнерами и сертификатами, поэтому для запуска кампании не требуются глубокие технические знания. Это снижает порог вхождения и расширяет круг потенциальных операторов. Вокруг проекта сформировалось сообщество, где участники обсуждают функции и запрашивают новые возможности. Сам доступ к панели защищён двухфакторной аутентификацией по одноразовым кодам.

Специалисты считают, что такие инструменты подрывают эффективность традиционных методов фильтрации, основанных на репутации доменов и статическом анализе страниц. При динамической подгрузке легитимного контента защитные решения вынуждены переходить к анализу поведенческих аномалий — аномалиям при входе, повторному использованию сессионных токенов и нетипичной географии доступа. На уровне электронной почты это означает более глубокий анализ контекста сообщений, а не только ссылок внутри них.