Starkiller, come funziona il phishing che usa siti veri per rubare credenziali

Una nuova piattaforma di phishing, denominata Starkiller, introduce un metodo più sofisticato per sottrarre credenziali sfruttando direttamente i siti legittimi invece di crearne copie fraudolente. La tecnica rappresenta un’evoluzione concreta delle campagne di furto credenziali che, secondo i report di settore, restano tra i principali vettori di compromissione degli account aziendali e personali.

Come abbiamo evidenziato nel nostro approfondimento phishing e autenticazione a due fattori (2FA), questi tipi di frode restano responsabili del 90% degli attacchi informatici andati a buon fine. Le ricerche condotte da Abnormal AI mostrano come il modello “as-a-service” stia rendendo questi strumenti sempre più accessibili, abbassando drasticamente la barriera tecnica e ampliando la platea di attaccanti in grado di condurre operazioni su larga scala.

Storicamente, il phishing si è basato su pagine di login contraffatte progettate per imitare servizi come Microsoft, Google, PayPal e così via. Tuttavia, l’aumento della consapevolezza degli utenti e l’introduzione di contromisure come l’autenticazione multifattore hanno reso queste tecniche meno efficaci. L’uso di proxy in tempo reale e session hijacking ha quindi guadagnato terreno, portando alla creazione di piattaforme integrate capaci di orchestrare attacchi sofisticati senza richiedere competenze avanzate.

Starkiller si inserisce in questo contesto come uno strumento strutturato e aggiornato, venduto in abbonamento da un gruppo noto come Jinkusu.

Architettura tecnica e funzionamento del proxy in tempo reale

Il nucleo di Starkiller è un sistema che agisce come reverse proxy tra la vittima e il servizio legittimo. A differenza dei kit tradizionali, Starkiller non replica l’interfaccia dei siti, ma carica la pagina originale in tempo reale tramite un’istanza headless Chrome (cioè senza interfaccia grafica, comandabile e gestibile tramite script) eseguita in un ambiente Docker.

L’utente visualizza quindi una pagina autentica, generata dal sito reale, ma instradata attraverso l’infrastruttura dell’attaccante.

Il traffico tra browser della vittima e servizio legittimo è intercettato e inoltrato dal proxy, permettendo la cattura di username, password, cookie di sessione e token di autenticazione. Poiché il contenuto è caricato live dal sito originale, non esistono differenze visive rispetto all’esperienza reale, eliminando i segnali tipici che gli utenti utilizzano per identificare le truffe online.

La home page di Starkiller pubblicizza un tasso di successo degli attacchi phishing pari al 99,7%.

Bypass dell’autenticazione multifattore e session hijacking

Uno degli aspetti più critici riguarda la capacità di Starkiller di aggirare i sistemi di autenticazione multifattore (MFA).

Durante il login, l’utente inserisce eventuali codici OTP (codici monouso temporanei) o altre prove di autenticazione nella pagina originale, che li inoltra in tempo reale al servizio legittimo tramite il proxy intermediario. Contemporaneamente, l’attaccante intercetta gli stessi dati e può sfruttare i token di sessione (le credenziali temporanee che mantengono l’accesso attivo) per entrare subito nell’account senza ulteriori verifiche.

La presenza di un pannello di controllo denominato “Active Targets” in Starkiller consente agli operatori di monitorare ogni sessione attiva: posizione geografica, indirizzo IP, dispositivo utilizzato e stato della sessione. Da questa interfaccia è possibile intervenire dinamicamente, iniettando ulteriori richieste di autenticazione, raccogliendo dati aggiuntivi o terminando la connessione senza che la vittima percepisca anomalie.

Tecniche di offuscamento e manipolazione degli URL

Starkiller integra meccanismi avanzati di URL masking per rendere i link di phishing difficili da riconoscere.

Il sistema sfrutta la sintassi degli URL inserendo il nome del brand prima del simbolo “@”, facendo apparire il dominio come affidabile mentre il traffico è in realtà indirizzato verso l’infrastruttura dell’attaccante. Esempio:

microsoft.com@secure-login-verifica.com

A una lettura veloce può sembrare che il dominio sia microsoft.com, ma in realtà il browser si collegherà al dominio reale secure-login-verifica.com, che è controllato dall’attaccante.

A questa tecnica si aggiunge l’uso di URL abbreviati, che nascondono ulteriormente la destinazione reale e ostacolano i controlli automatici di sicurezza.

La combinazione di contenuto autentico e offuscamento dei link rende inefficaci molte delle strategie di difesa basate su indicatori statici, come il controllo del dominio o la presenza di errori grafici. Il risultato è una campagna di phishing praticamente indistinguibile dall’esperienza reale.

Modello di business e infrastruttura criminale

La piattaforma è distribuita come servizio in abbonamento, configurandosi come un esempio di phishing-as-a-service.

Il gruppo Jinkusu fornisce aggiornamenti continui, supporto tecnico e un forum comunitario dove gli utenti scambiano tecniche e risolvono problemi operativi. Questa struttura organizzata ricorda modelli commerciali legittimi, con cicli di sviluppo, feedback degli utenti e rilascio di nuove funzionalità.

L’automazione dell’infrastruttura, dalla distribuzione dei link fino al monitoraggio delle sessioni, consente campagne su larga scala con costi contenuti. Anche attori con competenze limitate possono lanciare attacchi sofisticati sfruttando template e workflow preconfigurati.

Come riconoscere e fermare il phishing con proxy: dal primo clic al dominio reale

La catena d’attacco inizia quasi sempre da un messaggio di posta elettronica o da una notifica di condivisione documenti costruita per indurre l’utente a cliccare su un link apparentemente legittimo. È possibile, inoltre, che l’aggressione abbia inizio da un’applicazione di messaggistica come WhatsApp, Telegram, Teams o simili.

Il collegamento porta a una pagina che sembra autentica perché lo è realmente, ma è servita attraverso un proxy controllato dall’attaccante. Per riconoscere l’inganno è necessario osservare con attenzione la struttura dell’URL, verificando la presenza di porzioni sospette, come abbiamo spiegato nel nostro articolo sul phishing.

Quello che fa fede è il nome di dominio effettivo, cioè la parte che compare più a destra nell’indirizzo, subito prima del primo “/” (quando presente).

In termini di difesa, oltre alla formazione degli utenti, è efficace adottare un’autenticazione resistente al phishing basata su chiavi hardware o passkey, abilitare il monitoraggio delle sessioni per rilevare riutilizzi di cookie e token da contesti geografici anomali.