Các nhà nghiên cứu an ninh mạng đã công bố thông tin chi tiết về một bộ công cụ lừa đảo mới có tên Starkiller, sử dụng kỹ thuật proxy các trang đăng nhập hợp pháp để vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA).
Nó được một nhóm tội phạm mạng tự xưng là Jinkusu quảng cáo như một nền tảng tội phạm mạng, cấp cho khách hàng quyền truy cập vào một bảng điều khiển cho phép họ chọn một thương hiệu để mạo danh hoặc nhập URL thực của một thương hiệu. Nó cũng cho phép người dùng chọn các từ khóa tùy chỉnh như "login", "verify", "security" hoặc "account", và tích hợp các công cụ rút gọn URL như TinyURL để che giấu URL đích.
"Nó khởi chạy một headless Chrome instance – một trình duyệt hoạt động không có cửa sổ hiển thị – bên trong một Docker container, tải trang web thực của thương hiệu và hoạt động như một reverse proxy giữa mục tiêu và trang web hợp pháp," các nhà nghiên cứu Callie Baron và Piotr Wojtyla từ Abnormal cho biết.
"Người nhận được phục vụ nội dung trang chính hãng trực tiếp thông qua cơ sở hạ tầng của kẻ tấn công, đảm bảo trang lừa đảo không bao giờ lỗi thời. Và vì Starkiller proxies trang web thật trực tiếp, không có tệp mẫu nào để các nhà cung cấp bảo mật fingerprint hoặc blocklist."
Kỹ thuật proxy trang đăng nhập này loại bỏ sự cần thiết của những kẻ tấn công phải cập nhật định kỳ các mẫu trang lừa đảo của chúng khi các trang thật mà chúng mạo danh được cập nhật.
Nói cách khác, container hoạt động như một AitM reverse proxy, chuyển tiếp các thông tin nhập liệu của người dùng cuối trên trang trực tiếp giả mạo đến trang web hợp pháp và trả về phản hồi của trang web. Về bản chất, mọi thao tác gõ phím, gửi biểu mẫu và mã thông báo phiên (session token) đều được định tuyến qua cơ sở hạ tầng do kẻ tấn công kiểm soát và bị chiếm đoạt để thực hiện tấn công chiếm đoạt tài khoản (account takeover).
"Nền tảng này hợp lý hóa các hoạt động lừa đảo bằng cách tập trung quản lý cơ sở hạ tầng, triển khai trang lừa đảo và giám sát phiên trong một bảng điều khiển duy nhất," Abnormal cho biết. "Kết hợp với che giấu URL, chiếm đoạt phiên (session hijacking) và vượt qua MFA, nó mang lại cho những tội phạm mạng có kỹ năng thấp khả năng tấn công mà trước đây khó đạt được."
Bộ công cụ 1Phish phát triển thành nhiều giai đoạn
Sự phát triển này diễn ra khi Datadog tiết lộ rằng bộ công cụ 1Phish đã phát triển từ một công cụ thu thập thông tin đăng nhập cơ bản vào tháng 9 năm 2025 thành một bộ công cụ lừa đảo đa giai đoạn nhắm mục tiêu vào người dùng 1Password.
Phiên bản cập nhật của bộ công cụ này tích hợp lớp xác thực và fingerprinting trước lừa đảo, hỗ trợ thu thập mã OTP (one-time passcodes) và mã khôi phục, cùng logic browser fingerprinting để lọc bot.
"Sự tiến hóa này phản ánh deliberate iteration hơn là simple template reuse," nhà nghiên cứu bảo mật Martin McCloskey cho biết. "Mỗi phiên bản đều được xây dựng dựa trên phiên bản trước đó, giới thiệu các kiểm soát được thiết kế để tăng conversion rates, giảm automated analysis, và hỗ trợ secondary authentication harvesting."
Những phát hiện này cho thấy các giải pháp sẵn có như Starkiller và 1Phish ngày càng biến lừa đảo thành các quy trình làm việc kiểu SaaS, tiếp tục giảm rào cản kỹ năng cần thiết để thực hiện các cuộc tấn công quy mô lớn như vậy.
Chiến dịch lừa đảo tinh vi nhắm mục tiêu Microsoft 365
Chúng cũng trùng hợp với một chiến dịch lừa đảo tinh vi nhắm mục tiêu vào các doanh nghiệp và chuyên gia Bắc Mỹ bằng cách lạm dụng luồng cấp quyền ủy quyền thiết bị OAuth 2.0 để vượt qua xác thực đa yếu tố (MFA) và chiếm đoạt tài khoản Microsoft 365.
Để đạt được điều này, kẻ tấn công đăng ký trên ứng dụng Microsoft OAuth và tạo một device code duy nhất, sau đó được gửi đến nạn nhân qua một email lừa đảo có mục tiêu.
"Nạn nhân được hướng dẫn đến cổng thông tin tên miền Microsoft hợp pháp (microsoft.com/devicelogin) portal để nhập một device code do kẻ tấn công cung cấp," các nhà nghiên cứu Jeewan Singh Jalal, Prabhakaran Ravichandhiran và Anand Bodke cho biết. "Hành động này xác thực nạn nhân và cấp một OAuth access token hợp lệ cho ứng dụng của kẻ tấn công. Việc đánh cắp các token này theo thời gian thực grants the attacker persistent access vào tài khoản Microsoft 365 và corporate data của nạn nhân."
Chiến dịch lừa đảo nhắm vào các tổ chức tài chính
Trong những tháng gần đây, các chiến dịch lừa đảo cũng nhắm mục tiêu vào các tổ chức tài chính, đặc biệt là các ngân hàng và liên minh tín dụng có trụ sở tại Hoa Kỳ, để thu thập thông tin đăng nhập. Chiến dịch này được cho là đã diễn ra qua hai giai đoạn riêng biệt, một đợt ban đầu bắt đầu vào cuối tháng 6 năm 2025 và một loạt các cuộc tấn công tinh vi hơn bắt đầu vào giữa tháng 11 năm 2025.
"Các tác nhân bắt đầu đăng ký các tên miền [.]co[.]com spoofing các trang web của tổ chức tài chính, presenting credible impersonations của các tổ chức tài chính thực," các nhà nghiên cứu Shira Reuveny và Joshua Green của BlueVoyant cho biết. "Các tên miền [.]co[.]com này serves as the initial entry point trong một refined multi-stage chain."
Tên miền, khi được truy cập từ một clickable link trong một phishing email, được thiết kế để load một fraudulent Cloudflare CAPTCHA page that mimics the targeted institution. The CAPTCHA is non-functional and creates a deliberate delay before a Base64-encoded script redirects users to the credential harvesting page.
In an effort to evade detection and prevent automated scanners from flagging the malicious content, directly accessing the [.]co[.]com domains trigger a redirect to a malformed "www[.]www" URL.
"The adversary's deployment of a more advanced multi-layered evasion chain – incorporating referrer validation, cookie-based access controls, intentional delays, and code obfuscation – effectively creates a more resilient infrastructure that presents barriers for automated security tools and manual analysis," BlueVoyant cho biết.
