Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe phishing-suite genaamd Sterrenmoordenaar die legitieme inlogpagina’s proxy’s om de bescherming tegen multi-factor authenticatie (MFA) te omzeilen.
Het wordt geadverteerd als een platform voor cybercriminaliteit door een bedreigingsgroep die zichzelf Jinkusu noemt en klanten toegang geeft tot een dashboard waarmee ze een merk kunnen selecteren om zich voor te doen of de echte URL van een merk in te voeren. Het laat gebruikers ook aangepaste trefwoorden kiezen zoals “inloggen”, “verifiëren”, “beveiliging” of “account”, en integreert URL-verkorters zoals TinyURL om de bestemmings-URL onzichtbaar te maken.
“Het lanceert een headless Chrome-instantie (een browser die zonder zichtbaar venster werkt) in een Docker-container, laadt de echte website van het merk en fungeert als een reverse proxy tussen het doel en de legitieme site”, aldus Abnormal-onderzoekers Callie Baron en Piotr Wojtyla.
“Ontvangers krijgen echte pagina-inhoud rechtstreeks via de infrastructuur van de aanvaller te zien, waardoor de phishing-pagina nooit verouderd is. En omdat Starkiller de echte site live proxies maakt, zijn er geen sjabloonbestanden waarmee beveiligingsleveranciers een vingerafdruk kunnen maken of een blokkeerlijst kunnen maken.”
Deze proxytechniek voor inlogpagina’s maakt het voor aanvallers niet meer nodig om hun phishingpaginasjablonen periodiek bij te werken, terwijl de echte pagina’s die zij nabootsen, worden bijgewerkt.
Anders gezegd, de container fungeert als een omgekeerde proxy van AitM, waarbij de invoer van de eindgebruiker die op de vervalste livepagina is ingevoerd, wordt doorgestuurd naar de legitieme site en de reacties van de site worden geretourneerd. Onder de motorkap wordt elke toetsaanslag, formulierinzending en sessietoken door de door de aanvaller gecontroleerde infrastructuur geleid en vastgelegd voor accountovername.
“Het platform stroomlijnt phishing-activiteiten door het infrastructuurbeheer, de implementatie van phishing-pagina’s en sessiemonitoring binnen één enkel controlepaneel te centraliseren”, aldus Abnormal. “Gecombineerd met URL-maskering, sessiekaping en MFA-bypass geeft het laagopgeleide cybercriminelen toegang tot aanvalsmogelijkheden die voorheen buiten bereik waren.”
De ontwikkeling komt op het moment dat Datadog onthulde dat de 1Phish-kit in september 2025 was geëvolueerd van een basiscredential harvester naar een meerfasige phishing-kit gericht op 1Password-gebruikers.
De bijgewerkte versie van de kit bevat een pre-phishing-vingerafdruk- en validatielaag, ondersteuning voor het vastleggen van eenmalige toegangscodes (OTP’s) en herstelcodes, en browser-vingerafdruklogica om bots uit te filteren.
“Deze vooruitgang weerspiegelt doelbewuste iteratie in plaats van eenvoudig hergebruik van sjablonen”, aldus beveiligingsonderzoeker Martin McCloskey. “Elke versie bouwt voort op de vorige en introduceert controles die zijn ontworpen om de conversiepercentages te verhogen, geautomatiseerde analyses te verminderen en het verzamelen van secundaire authenticatie te ondersteunen.”
De bevindingen tonen aan dat kalkoenoplossingen zoals Starkiller en 1Phish phishing steeds meer omzetten in SaaS-achtige workflows, waardoor de vaardigheidsbarrière die nodig is om dergelijke aanvallen op grote schaal uit te voeren verder wordt verlaagd.
Ze vallen ook samen met een geavanceerde phishing-campagne gericht op Noord-Amerikaanse bedrijven en professionals door misbruik te maken van de OAuth 2.0-apparaatautorisatiestroom om multi-factor authenticatie (MFA) te omzeilen en Microsoft 365-accounts in gevaar te brengen.
Om dit te bereiken registreert de aanvaller zich op de Microsoft OAuth-applicatie en genereert een unieke apparaatcode, die vervolgens via een gerichte phishing-e-mail aan het slachtoffer wordt afgeleverd.
“Het slachtoffer wordt doorverwezen naar het legitieme Microsoft-domeinportaal (microsoft.com/devicelogin) om een door de aanvaller aangeleverde apparaatcode in te voeren”, aldus onderzoekers Jeewan Singh Jalal, Prabhakaran Ravichandhiran en Anand Bodke. “Deze actie authenticeert het slachtoffer en geeft een geldig OAuth-toegangstoken af aan de applicatie van de aanvaller. De realtime diefstal van deze tokens geeft de aanvaller permanente toegang tot de Microsoft 365-accounts en bedrijfsgegevens van het slachtoffer.”
De afgelopen maanden hebben phishing-campagnes zich ook gericht op financiële instellingen, met name in de VS gevestigde banken en kredietverenigingen, om inloggegevens te verzamelen. De campagne zou in twee verschillende fasen hebben plaatsgevonden: een eerste golf die eind juni 2025 begon en een meer geavanceerde reeks aanvallen die medio november 2025 begon.
“De acteurs begonnen (.)co(.)com-domeinen te registreren om websites van financiële instellingen te spoofen en geloofwaardige nabootsingen van echte financiële instellingen te presenteren”, aldus BlueVoyant-onderzoekers Shira Reuveny en Joshua Green. “Deze (.)co(.)com-domeinen dienen als het eerste toegangspunt in een verfijnde keten met meerdere fasen.”
Wanneer het domein wordt bezocht via een klikbare link in een phishing-e-mail, is het ontworpen om een frauduleuze Cloudflare CAPTCHA-pagina te laden die de beoogde instelling nabootst. De CAPTCHA is niet functioneel en zorgt voor een opzettelijke vertraging voordat een met Base64 gecodeerd script gebruikers omleidt naar de pagina voor het verzamelen van inloggegevens.
In een poging om detectie te omzeilen en te voorkomen dat geautomatiseerde scanners de schadelijke inhoud markeren, wordt bij directe toegang tot de (.)co(.)com-domeinen een omleiding naar een verkeerd opgemaakte “www(.)www”-URL geactiveerd.
“De inzet door de tegenstander van een geavanceerdere, meerlaagse ontwijkingsketen – met verwijzingsvalidatie, op cookies gebaseerde toegangscontroles, opzettelijke vertragingen en verduistering van codes – creëert effectief een veerkrachtigere infrastructuur die barrières opwerpt voor geautomatiseerde beveiligingstools en handmatige analyse”, aldus BlueVoyant.
