Serviço de Phishing 'Starkiller' Intermedia Páginas de Login Reais e MFA
Um novo serviço de phishing como serviço, chamado Starkiller, burla as defesas tradicionais ao carregar dinamicamente uma cópia da página de login real e atuar como um proxy entre a vítima e o site legítimo, interceptando credenciais e códigos MFA. Isso permite que criminosos cibernéticos, mesmo com pouca habilidade, realizem ataques sofisticados.
MundiX News·13 de abril de 2026·7 min de leitura·👁 3 views
A maioria dos sites de phishing são pouco mais do que cópias estáticas de páginas de login de destinos online populares, e são frequentemente removidos rapidamente por ativistas anti-abuso e empresas de segurança. Mas uma nova e furtiva oferta de phishing-as-a-service permite que os clientes contornem essas duas armadilhas: ela usa links inteligentemente disfarçados para carregar o site real da marca alvo e, em seguida, atua como um relé entre a vítima e o site legítimo — encaminhando o nome de usuário, senha e código de autenticação multifator (MFA) da vítima para o site legítimo e retornando suas respostas.
Existem inúmeros phishing kits que potenciais golpistas podem usar para começar, mas utilizá-los com sucesso requer um mínimo de habilidade na configuração de servidores, nomes de domínio, certificados, serviços de proxy e outras tarefas técnicas repetitivas. Apresentamos o Starkiller, um novo serviço de phishing que carrega dinamicamente uma cópia ao vivo da página de login real e registra tudo o que o usuário digita, fazendo o proxy dos dados do site legítimo de volta para a vítima.
De acordo com uma análise do Starkiller pela empresa de segurança Abnormal AI, o serviço permite que os clientes selecionem uma marca para personificar (por exemplo, Apple, Facebook, Google, Microsoft, etc.) e gera um URL enganoso que imita visualmente o domínio legítimo enquanto roteia o tráfego através da infraestrutura do atacante.
Por exemplo, um link de phishing direcionado a clientes da Microsoft aparece como “login.microsoft.com@[URL malicioso/encurtado aqui]”. O sinal “@” no link é um truque antigo, mas eficaz, porque tudo antes do “@” em um URL é considerado dados de nome de usuário, e a página de destino real é o que vem depois do sinal “@”. Veja como fica no navegador do alvo:
[Imagem: Abnormal AI. A página de destino maliciosa real está borrada nesta imagem, mas podemos ver que termina em .ru. O serviço também oferece a capacidade de inserir links de diferentes serviços de encurtamento de URL.]
Depois que os clientes do Starkiller selecionam o URL a ser fisgado, o serviço ativa um container Docker executando uma instância de navegador Chrome headless que carrega a página de login real, descobriu a Abnormal.
"O container então atua como um proxy reverso man-in-the-middle, encaminhando as entradas do usuário final para o site legítimo e retornando as respostas do site", escreveram os pesquisadores da Abnormal, Callie Baron e Piotr Wojtyla, em uma postagem de blog na quinta-feira. "Cada pressionamento de tecla, envio de formulário e token de sessão passa pela infraestrutura controlada pelo atacante e é registrado ao longo do caminho."
O Starkiller, na verdade, oferece aos criminosos cibernéticos monitoramento de sessão em tempo real, permitindo que eles transmitam ao vivo a tela do alvo enquanto ele interage com a página de phishing, disseram os pesquisadores.
"A plataforma também inclui captura de keylogger para cada pressionamento de tecla, roubo de cookie e token de sessão para account takeover direto, geolocalização de alvos e alertas automatizados do Telegram quando novas credenciais chegam", escreveram eles. "A análise de campanha completa a experiência do operador com contagens de visitas, taxas de conversão e gráficos de desempenho — o mesmo tipo de painel de métricas que uma plataforma SaaS [software como serviço] legítima ofereceria."
A Abnormal disse que o serviço também intercepta e retransmite habilmente as credenciais MFA da vítima, já que o destinatário que clica no link está realmente se autenticando com o site real por meio de um proxy, e quaisquer tokens de autenticação enviados são então encaminhados para o serviço legítimo em tempo real.
"O atacante captura os cookies e tokens de sessão resultantes, dando-lhes acesso autenticado à conta", escreveram os pesquisadores. "Quando os atacantes retransmitem todo o fluxo de autenticação em tempo real, as proteções MFA podem ser efetivamente neutralizadas, apesar de funcionarem exatamente como projetado."
[Imagem: A funcionalidade "URL Masker" do serviço de phishing Starkiller apresenta opções para configurar o link malicioso.]
O Starkiller é apenas um dos vários serviços de cibercrime oferecidos por um grupo de ameaças chamado Jinkusu, que mantém um fórum de usuários ativo onde os clientes podem discutir técnicas, solicitar recursos e solucionar problemas de implantações. Um recurso a-la-carte coletará endereços de e-mail e informações de contato de sessões comprometidas e aconselha que os dados sejam usados para criar listas de alvos para campanhas de phishing de acompanhamento.
Este serviço me parece uma evolução notável no phishing, e seu aparente sucesso provavelmente será copiado por outros criminosos cibernéticos empreendedores (assumindo que o serviço tenha o desempenho que alega). Afinal, fisgar usuários dessa forma evita os custos iniciais e os aborrecimentos constantes associados a manipular vários domínios de phishing, e dificulta os métodos tradicionais de detecção de phishing, como blocklisting de domínio e análise de página estática.
Também reduz massivamente a barreira de entrada para criminosos cibernéticos novatos, observaram os pesquisadores da Abnormal.
"O Starkiller representa uma escalada significativa na infraestrutura de phishing, refletindo uma tendência mais ampla em direção a ferramentas de cibercrime commoditizadas, em estilo empresarial", conclui seu relatório. "Combinado com mascaramento de URL, sequestro de sessão e bypass de MFA, ele dá a criminosos cibernéticos de baixa habilidade acesso a capacidades de ataque que antes estavam fora de alcance."
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A maioria dos sites de phishing são pouco mais do que cópias estáticas de páginas de login de destinos online populares, e são frequentemente removidos rapidamente por ativistas anti-abuso e empresas de segurança. Mas uma nova e furtiva oferta de phishing-as-a-service permite que os clientes contornem essas duas armadilhas: ela usa links inteligentemente disfarçados para carregar o site real da marca alvo e, em seguida, atua como um relé entre a vítima e o site legítimo — encaminhando o nome de usuário, senha e código de autenticação multifator (MFA) da vítima para o site legítimo e retornando suas respostas.
Existem inúmeros phishing kits que potenciais golpistas podem usar para começar, mas utilizá-los com sucesso requer um mínimo de habilidade na configuração de servidores, nomes de domínio, certificados, serviços de proxy e outras tarefas técnicas repetitivas. Apresentamos o Starkiller, um novo serviço de phishing que carrega dinamicamente uma cópia ao vivo da página de login real e registra tudo o que o usuário digita, fazendo o proxy dos dados do site legítimo de volta para a vítima.
De acordo com uma análise do Starkiller pela empresa de segurança Abnormal AI, o serviço permite que os clientes selecionem uma marca para personificar (por exemplo, Apple, Facebook, Google, Microsoft, etc.) e gera um URL enganoso que imita visualmente o domínio legítimo enquanto roteia o tráfego através da infraestrutura do atacante.
Por exemplo, um link de phishing direcionado a clientes da Microsoft aparece como “login.microsoft.com@[URL malicioso/encurtado aqui]”. O sinal “@” no link é um truque antigo, mas eficaz, porque tudo antes do “@” em um URL é considerado dados de nome de usuário, e a página de destino real é o que vem depois do sinal “@”. Veja como fica no navegador do alvo:
[Imagem: Abnormal AI. A página de destino maliciosa real está borrada nesta imagem, mas podemos ver que termina em .ru. O serviço também oferece a capacidade de inserir links de diferentes serviços de encurtamento de URL.]
Depois que os clientes do Starkiller selecionam o URL a ser fisgado, o serviço ativa um container Docker executando uma instância de navegador Chrome headless que carrega a página de login real, descobriu a Abnormal.
"O container então atua como um proxy reverso man-in-the-middle, encaminhando as entradas do usuário final para o site legítimo e retornando as respostas do site", escreveram os pesquisadores da Abnormal, Callie Baron e Piotr Wojtyla, em uma postagem de blog na quinta-feira. "Cada pressionamento de tecla, envio de formulário e token de sessão passa pela infraestrutura controlada pelo atacante e é registrado ao longo do caminho."
O Starkiller, na verdade, oferece aos criminosos cibernéticos monitoramento de sessão em tempo real, permitindo que eles transmitam ao vivo a tela do alvo enquanto ele interage com a página de phishing, disseram os pesquisadores.
"A plataforma também inclui captura de keylogger para cada pressionamento de tecla, roubo de cookie e token de sessão para account takeover direto, geolocalização de alvos e alertas automatizados do Telegram quando novas credenciais chegam", escreveram eles. "A análise de campanha completa a experiência do operador com contagens de visitas, taxas de conversão e gráficos de desempenho — o mesmo tipo de painel de métricas que uma plataforma SaaS [software como serviço] legítima ofereceria."
A Abnormal disse que o serviço também intercepta e retransmite habilmente as credenciais MFA da vítima, já que o destinatário que clica no link está realmente se autenticando com o site real por meio de um proxy, e quaisquer tokens de autenticação enviados são então encaminhados para o serviço legítimo em tempo real.
"O atacante captura os cookies e tokens de sessão resultantes, dando-lhes acesso autenticado à conta", escreveram os pesquisadores. "Quando os atacantes retransmitem todo o fluxo de autenticação em tempo real, as proteções MFA podem ser efetivamente neutralizadas, apesar de funcionarem exatamente como projetado."
[Imagem: A funcionalidade "URL Masker" do serviço de phishing Starkiller apresenta opções para configurar o link malicioso.]
O Starkiller é apenas um dos vários serviços de cibercrime oferecidos por um grupo de ameaças chamado Jinkusu, que mantém um fórum de usuários ativo onde os clientes podem discutir técnicas, solicitar recursos e solucionar problemas de implantações. Um recurso a-la-carte coletará endereços de e-mail e informações de contato de sessões comprometidas e aconselha que os dados sejam usados para criar listas de alvos para campanhas de phishing de acompanhamento.
Este serviço me parece uma evolução notável no phishing, e seu aparente sucesso provavelmente será copiado por outros criminosos cibernéticos empreendedores (assumindo que o serviço tenha o desempenho que alega). Afinal, fisgar usuários dessa forma evita os custos iniciais e os aborrecimentos constantes associados a manipular vários domínios de phishing, e dificulta os métodos tradicionais de detecção de phishing, como blocklisting de domínio e análise de página estática.
Também reduz massivamente a barreira de entrada para criminosos cibernéticos novatos, observaram os pesquisadores da Abnormal.
"O Starkiller representa uma escalada significativa na infraestrutura de phishing, refletindo uma tendência mais ampla em direção a ferramentas de cibercrime commoditizadas, em estilo empresarial", conclui seu relatório. "Combinado com mascaramento de URL, sequestro de sessão e bypass de MFA, ele dá a criminosos cibernéticos de baixa habilidade acesso a capacidades de ataque que antes estavam fora de alcance."
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
