Starkiller：マルウェアサービスが本物のログインページをプロキシング

一般的なフィッシングサイトは、人気オンラインサービスのログインページの静的なコピーであることが多いですが、それらはしばしば迅速に取り除かれます。しかし、新しい「Starkiller」フィッシング・アズ・ア・サービスは、これらの問題を回避します：本物のウェブサイトの偽装されたリンクを使用し、被害者と正当なサイト間でリレーポイントとして機能します。

Starkillerの仕組み

「Starkiller」は、ユーザーが入力したすべての情報を記録し、正当なサイトからデータを返すプロキシサービスです。セキュリティ企業Abnormal AIによる分析によると、「Starkiller」はユーザーが選択したブランド（Apple、Facebook、Google、Microsoftなど）の偽装URLを作成します。

機能とリスク

• リアルタイムセッションモニタリング：サイバー犯罪者は、被害者のスクリーンをライブストリーミングし、キーストロークやCookieの盗難が可能です。
• MFA対策：マルチファクター認証（MFA）コードも偽装サイトを通じて正当なサイトに転送され、セッショントークンを取得できます。

脅威グループの背景

「Starkiller」は、「Jinkusu」という脅威グループが提供するサービスで、顧客向けのアクティブなユーザー・フォーラムがあります。このプラットフォームは、サイバー犯罪者が以前には手に入れることができなかった高度な攻撃機能にアクセスできるようにしています。

対策と展望

「Starkiller」のようなサービスの出現により、フィッシング攻撃に対する新たな防御が必要となります。ユーザーは、URLを慎重に確認し、信頼性のあるサイトのみでログイン情報を入力するべきです。

元記事: https://krebsonsecurity.com/2026/02/starkiller-phishing-service-proxies-real-login-pages-mfa/