Starkiller: Nueva herramienta de phishing burla la autenticación multifactor

Investigadores de ciberseguridad han descubierto una nueva herramienta de phishing llamada Starkiller que puede saltarse la autenticación multifactor (MFA). Esta herramienta, promocionada por un grupo llamado Jinkusu, facilita a los ciberdelincuentes la creación de páginas de inicio de sesión falsas que imitan a sitios web legítimos.

¿Cómo funciona Starkiller?

Starkiller utiliza una técnica llamada "AitM reverse proxy". En pocas palabras, actúa como intermediario entre la víctima y el sitio web real. Cuando alguien introduce sus datos en la página falsa, Starkiller captura esa información (incluyendo contraseñas y códigos MFA) y la reenvía al sitio legítimo. A su vez, muestra el contenido real del sitio a la víctima, haciendo que todo parezca normal. Esto se logra mediante un contenedor Docker que ejecuta un navegador sin interfaz visible (headless Chrome).

• Imitación en tiempo real: Starkiller muestra el contenido real del sitio web que está imitando, así que las páginas de phishing siempre están actualizadas.
• Elusión de defensas: Al no usar plantillas estáticas, es más difícil para los sistemas de seguridad detectar y bloquear estas páginas.
• Automatización: La herramienta centraliza la gestión de la infraestructura, el despliegue de las páginas de phishing y el monitoreo de las sesiones en un solo panel de control.

¿Qué implicaciones tiene esto?

Starkiller reduce significativamente la barrera de entrada para los ciberdelincuentes. Incluso personas con pocos conocimientos técnicos pueden llevar a cabo ataques de phishing sofisticados a gran escala. Esto, sumado a otras técnicas como el enmascaramiento de URLs (usando acortadores como TinyURL) y el secuestro de sesiones, hace que sea mucho más fácil robar credenciales y comprometer cuentas.

Este descubrimiento coincide con la evolución de otras herramientas de phishing, como 1Phish, que ahora también incorporan funcionalidades avanzadas para evadir la detección y robar códigos de autenticación.

Además, se han detectado campañas de phishing que abusan del protocolo OAuth 2.0 para obtener acceso a cuentas de Microsoft 365, incluso con MFA activado. En estos ataques, los delincuentes dirigen a las víctimas a una página legítima de Microsoft donde, sin saberlo, autorizan a una aplicación maliciosa a acceder a sus datos.

¿Qué puedo hacer para protegerme?

La proliferación de herramientas como Starkiller significa que el phishing es una amenaza cada vez más sofisticada. Es crucial estar atento a las señales de alerta y tomar medidas para proteger tus cuentas:

• Desconfía de enlaces sospechosos: No hagas clic en enlaces que recibas por correo electrónico o mensaje de texto, especialmente si te piden que inicies sesión en tu cuenta.
• Verifica la URL: Asegúrate de que la dirección web del sitio al que accedes es la correcta y utiliza HTTPS.
• Activa la autenticación multifactor (MFA): Aunque Starkiller puede saltarse algunas implementaciones de MFA, sigue siendo una capa de seguridad importante.
• Mantén tu software actualizado: Instala las últimas actualizaciones de seguridad en tu navegador y sistema operativo.
• Usa un gestor de contraseñas: Estas herramientas pueden ayudarte a identificar sitios web falsos y a generar contraseñas seguras.

¿Qué significa esto para ti?

En resumen, el phishing es un problema en constante evolución. Mantente informado sobre las últimas técnicas utilizadas por los atacantes y toma precauciones para proteger tu información personal y profesional. La mejor defensa es la prevención y la conciencia digital.