Selon Abnormal Intelligence (abnormal.ai), un groupe nommé Jinkusu commercialise “Starkiller”, un framework de phishing opéré comme un SaaS qui proxifie en temps réel les pages de connexion légitimes pour faciliter le vol d’identifiants et le contournement de la MFA.

Le cœur de Starkiller lance un Chrome sans interface dans un conteneur Docker, charge l’URL réelle de la marque et sert de reverse proxy MITM entre la cible et le site authentique. Chaque frappe clavier, soumission de formulaire et jeton de session transite et est journalisé par l’infrastructure de l’attaquant. La plateforme fournit un tableau de bord pour déployer des campagnes en collant simplement l’URL de la marque.

Les fonctionnalités incluent la surveillance de session en temps réel (“live-stream”), keylogging, vol de cookies/jetons pour prise de contrôle de compte, géolocalisation, alertes Telegram automatiques, et des analyses de campagne (visites, conversions, graphiques). Le contournement MFA est rendu possible car l’authentification s’effectue sur le site réel via le proxy; les codes/jetons sont relayés en direct et les cookies de session récupérés. Des modules ciblent aussi le numéro de carte, seed de wallet crypto, identifiants bancaires et infos de paiement; des faux pop-ups de mise à jour (Chrome/Firefox) servent des charges malveillantes; un module “EvilEngine Core” est promu pour rendre les liens indétectables.

L’infrastructure est automatisée (statut Docker, builds, conteneurs, certificats) pour abaisser la barrière technique. Un outil de masquage d’URL génère des liens trompeurs imitant des domaines (Microsoft, Google, Apple, banques, etc.) avec des modificateurs (“login”, “verify”, “security”, etc.), intègre des raccourcisseurs (TinyURL, is.gd, v.gd) et exploite l’astuce du symbole @ pour dissimuler le domaine réel. Côté cible, la page affichée est celle du site légitime, rendant la détection visuelle quasi impossible; côté opérateur, un tableau Active Targets affiche IP, device, localisation et l’état de session.

L’email est présenté comme canal de diffusion le plus probable, avec des usurpations de marques courantes et des notifications familières. Le kit revendique aussi une collecte d’emails depuis les sessions compromises pour alimenter de futures campagnes. Un forum communautaire Jinkusu montre une base d’utilisateurs active (ex. Starkiller v6.2.4), avec 2FA pour les opérateurs, support Telegram, mises à jour mensuelles et documentation, indiquant un écosystème en croissance.

L’article conclut que les défenses traditionnelles (empreintes de page, listes de blocage, réputation d’URL) sont insuffisantes face au rendu dynamique par session et prône une détection comportementale (anomalies d’authentification, réutilisation de tokens, signaux identitaires), notamment au niveau de la messagerie. Type d’article : analyse de menace visant à exposer le fonctionnement et la portée de ce framework.

• IOCs: Aucun IOC technique (domaines, IP, hashes) n’est partagé dans l’article. • TTPs: Reverse proxy MITM; navigateur sans tête Chrome dans Docker; capture de frappes; vol de cookies/jetons; bypass MFA par relais temps réel; masquage d’URL (motifs de marque, mots-clés), raccourcisseurs (TinyURL, is.gd, v.gd), astuce @; fake updates (Chrome/Firefox) pour dropper; modules fraude financière (CB, wallets, banques); alertes Telegram; analytics de campagne; harvesting d’emails; automatisation infra (certificats, conteneurs); live session monitoring.

🧠 TTPs et IOCs détectés

TTP

Reverse proxy MITM; navigateur sans tête Chrome dans Docker; capture de frappes; vol de cookies/jetons; bypass MFA par relais temps réel; masquage d’URL (motifs de marque, mots-clés); raccourcisseurs (TinyURL, is.gd, v.gd); astuce @; fake updates (Chrome/Firefox) pour dropper; modules fraude financière (CB, wallets, banques); alertes Telegram; analytics de campagne; harvesting d’emails; automatisation infra (certificats, conteneurs); live session monitoring.

IOC

Aucun IOC technique (domaines, IP, hashes) n’est partagé dans l’article.

🔗 Source originale : https://abnormal.ai/blog/starkiller-phishing-kit