NARCO OBSERVATORIO
🛡 MALWARE 🛡

Servicio de phishing 'Starkiller' emula páginas de inicio de sesión reales y MFA.

🛡CyberObservatorio
Servicio de phishing 'Starkiller' emula páginas de inicio de sesión reales y MFA.
Idioma
◢ MALWARE ◣

Servicio de phishing 'Starkiller' emula páginas de inicio de sesión reales y MFA.

⟫ 20/02/2026 ⟫ BrianKrebs
Fuente: Krebs on Security
Servicio de phishing 'Starkiller' emula páginas de inicio de sesión reales y MFA.

**El Auge del Phishing como Servicio: Starkiller y su Amenaza a la Ciberseguridad**

En un panorama digital cada vez más complejo, donde las interacciones en línea son omnipresentes, el phishing se ha convertido en una de las amenazas más insidiosas para usuarios y empresas. Estas estafas, que en su mayoría consisten en réplicas estáticas de páginas de inicio de sesión de destinos online populares, suelen ser rápidamente desmanteladas por activistas contra el abuso y empresas de seguridad. Sin embargo, la aparición de servicios sofisticados de phishing como Starkiller ha revolucionado el enfoque de los cibercriminales, permitiéndoles eludir de manera efectiva estas medidas de seguridad.

Starkiller representa un innovador modelo de phishing como servicio que no solo replica la apariencia de un sitio legítimo, sino que también actúa como un intermediario entre la víctima y el sitio original. Este servicio permite a los atacantes cargar la página de inicio de sesión real de una marca objetivo, recopilando las credenciales de los usuarios, incluidos los nombres de usuario, contraseñas y códigos de autenticación multifactor (MFA), para luego enviarlos al sitio legítimo. Esta técnica no solo es engañosa, sino que también complica la detección por parte de las medidas de seguridad convencionales.

Imagen del articulo

**Mecanismos Técnicos de Starkiller**

El funcionamiento de Starkiller es ingenioso y complejo. Según un análisis realizado por la firma de seguridad Abnormal AI, este servicio permite a los criminales elegir una marca para suplantar, como Apple, Facebook, Google o Microsoft, y genera un enlace engañoso que simula visualmente el dominio legítimo mientras redirige el tráfico a través de la infraestructura del atacante.

Un ejemplo de esto es un enlace de phishing destinado a los clientes de Microsoft, que podría aparecer como “login.microsoft.com@[URL maliciosa/acortada]”. La utilización del símbolo “@” es un truco clásico, ya que todo lo que precede a este carácter en una URL se considera datos del nombre de usuario, y la verdadera página de destino es lo que se encuentra después. En el navegador de la víctima, esto puede resultar confuso y engañoso.

Tras la selección del URL a suplantar, Starkiller activa un contenedor Docker que ejecuta una instancia de un navegador Chrome sin cabeza, que carga la página de inicio de sesión real. Este contenedor actúa como un proxy inverso, enviando las entradas del usuario final al sitio legítimo y devolviendo las respuestas. Cada pulsación de tecla, cada envío de formulario y cada token de sesión pasan a través de la infraestructura controlada por el atacante y quedan registrados.

Este sistema proporciona a los cibercriminales una monitorización en tiempo real de las sesiones, lo que les permite ver la pantalla de la víctima mientras interactúa con la página de phishing. Además, Starkiller incluye funciones avanzadas como la captura de pulsaciones de teclas, el robo de cookies y tokens de sesión para el acceso directo a cuentas, geo-localización de las víctimas y alertas automáticas a través de Telegram cuando nuevas credenciales son ingresadas.

**Impacto y Consecuencias para la Ciberseguridad**

El impacto de este tipo de servicio es significativo, tanto para los usuarios como para las empresas. A medida que los atacantes pueden interceptar y redirigir las credenciales MFA, el nivel de seguridad que esta medida proporcionaba se ve prácticamente anulado. La capacidad de relatar todo el flujo de autenticación en tiempo real permite a los atacantes obtener acceso autenticado a cuentas de usuario, lo que representa un cambio paradigmático en la naturaleza de los ataques de phishing.

La posibilidad de que los cibercriminales puedan operar con herramientas de este tipo no solo incrementa la eficacia de los ataques, sino que también reduce drásticamente la barrera de entrada para los delincuentes novatos, quienes ahora tienen acceso a capacidades de ataque que antes estaban reservadas para aquellos con habilidades técnicas avanzadas. Este fenómeno representa una escalada significativa en la infraestructura de phishing, reflejando una tendencia más amplia hacia la comercialización de herramientas de cibercrimen.

**Contexto Histórico y Tendencias Similares**

A lo largo de los años, el phishing ha evolucionado de simples correos electrónicos engañosos a ataques más sofisticados y dirigidos. La llegada de servicios como Starkiller es un claro indicador de que los cibercriminales están adoptando enfoques más organizados y profesionales, creando foros activos donde los usuarios pueden discutir técnicas, solicitar características y resolver problemas. Este tipo de colaboración entre criminales cibernéticos puede llevar a un aumento en la eficacia y la diversidad de los ataques.

**Recomendaciones para Mitigación**

Ante la creciente amenaza de servicios como Starkiller, es crucial que tanto usuarios como empresas fortalezcan sus prácticas de seguridad. La implementación de medidas adicionales como la autenticación multifactor, la educación sobre la identificación de intentos de phishing y el uso de soluciones de seguridad avanzadas que puedan detectar comportamientos anómalos en la red son esenciales. Las empresas también deben mantener una vigilancia constante sobre las actividades de sus usuarios y estar preparadas para responder rápidamente a cualquier incidente de seguridad.

En conclusión, Starkiller y servicios similares representan un avance preocupante en la técnica de phishing, poniendo en la mira a usuarios y organizaciones por igual. A medida que la ciberseguridad continúa evolucionando, la industria debe adaptarse y prepararse para enfrentar estos nuevos desafíos en un entorno digital en constante cambio.

◢ MALWARE ◣

‘Starkiller’ Phishing Service Proxies Real Login Pages, MFA

⟫ 20/02/2026 ⟫ BrianKrebs
Source: Krebs on Security
Servicio de phishing 'Starkiller' emula páginas de inicio de sesión reales y MFA.

Most phishing websites are little more than static copies of login pages for popular online destinations, and they are often quickly taken down by anti-abuse activists and security firms. But a stealthy new phishing-as-a-service offering lets customers sidestep both of these pitfalls: It uses cleverly disguised links to load the target brand’s real website, and then acts as a relay between the target and the legitimate site — forwarding the victim’s username, password and multi-factor authentication (MFA) code to the legitimate site and returning its responses. There are countless phishing kits that would-be scammers can use to get started, but successfully wielding them requires some modicum of skill in configuring servers, domain names, certificates, proxy services, and other repetitive tech drudgery. EnterStarkiller, a new phishing service that dynamically loads a live copy of the real login page and records everything the user types, proxying the data from the legitimate site back to the victim. According to an analysis of Starkiller by the security firmAbnormal AI, the service lets customers select a brand to impersonate (e.g., Apple, Facebook, Google, Microsoft et. al.) and generates a deceptive URL that visually mimics the legitimate domain while routing traffic through the attacker’s infrastructure. For example, a phishing link targeting Microsoft customers appears as “login.microsoft.com@[malicious/shortened URL here].” The “@” sign in the link trick is an oldie but goodie, because everything before the “@” in a URL is considered username data, and the real landing page is what comes after the “@” sign. Here’s what it looks like in the target’s browser: Image: Abnormal AI. The actual malicious landing page is blurred out in this picture, but we can see it ends in .ru. The service also offers the ability to insert links from different URL-shortening services. Once Starkiller customers select the URL to be phished, the service spins upa Docker containerrunning aheadless Chrome browser instancethat loads the real login page, Abnormal found. “The container then acts as a man-in-the-middle reverse proxy, forwarding the end user’s inputs to the legitimate site and returning the site’s responses,” Abnormal researchersCallie BaronandPiotr Wojtylawrote ina blog post on Thursday. “Every keystroke, form submission, and session token passes through attacker-controlled infrastructure and is logged along the way.” Starkiller in effect offers cybercriminals real-time session monitoring, allowing them to live-stream the target’s screen as they interact with the phishing page, the researchers said. “The platform also includes keylogger capture for every keystroke, cookie and session token theft for direct account takeover, geo-tracking of targets, and automated Telegram alerts when new credentials come in,” they wrote. “Campaign analytics round out the operator experience with visit counts, conversion rates, and performance graphs—the same kind of metrics dashboard a legitimate SaaS [software-as-a-service] platform would offer.” Abnormal said the service also deftly intercepts and relays the victim’s MFA credentials, since the recipient who clicks the link is actually authenticating with the real site through a proxy, and any authentication tokens submitted are then forwarded to the legitimate service in real time. “The attacker captures the resulting session cookies and tokens, giving them authenticated access to the account,” the researchers wrote. “When attackers relay the entire authentication flow in real time, MFA protections can be effectively neutralized despite functioning exactly as designed.” The “URL Masker” feature of the Starkiller phishing service features options for configuring the malicious link. Image: Abnormal. Starkiller is just one of several cybercrime services offered by a threat group calling itselfJinkusu, which maintains an active user forum where customers can discuss techniques, request features and troubleshoot deployments. One a-la-carte feature will harvest email addresses and contact information from compromised sessions, and advises the data can be used to build target lists for follow-on phishing campaigns. This service strikes me as a remarkable evolution in phishing, and its apparent success is likely to be copied by other enterprising cybercriminals (assuming the service performs as well as it claims). After all, phishing users this way avoids the upfront costs and constant hassles associated with juggling multiple phishing domains, and it throws a wrench in traditional phishing detection methods like domain blocklisting and static page analysis. It also massively lowers the barrier to entry for novice cybercriminals, Abnormal researchers observed. “Starkiller represents a significant escalation in phishing infrastructure, reflecting a broader trend toward commoditized, enterprise-style cybercrime tooling,” their report concludes. “Combined with URL masking, session hijacking, and MFA bypass, it gives low-skill cybercriminals access to attack capabilities that were previously out of reach.”

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD