Ландшафт киберугроз трансформируется в доступную модель SaaS (программное обеспечение как услуга), где даже низкоквалифицированные злоумышленники используют продвинутые готовые решения для фишинга. Платформы Starkiller и 1Phish применяют такие методы, как обратный прокси-сервер AitM (Adversary-in-the-Middle) и злоупотребление протоколом OAuth 2.0. Это позволяет им незаметно обходить многофакторную аутентификацию (MFA) и перехватывать пользовательские сессии в режиме реального времени.
Основной фокус внимания специалистов направлен на новейшую платформу Starkiller, созданную хакерской группировкой Jinkusu. Исследователи Кэлли Барон и Петр Войтыла из кибербезопасной компании Abnormal выяснили, что этот инструмент использует механизм AitM через запуск скрытого экземпляра браузера Google Chrome (Headless Chrome) внутри контейнера Docker. Система загружает реальный сайт целевого бренда и действует как обратный прокси-сервер, вставая прямо между жертвой и легитимным ресурсом, пропуская через инфраструктуру злоумышленников каждое нажатие клавиш, отправку форм и токены сессий.
Starkiller предоставляет клиентам панель управления, интеграцию с сервисом сокращения ссылок TinyURL и возможность использовать в URL-адресах ключевые слова: «login», «verify», «security» или «account». Платформа полностью полагается на проксирование в реальном времени, что означает использование 0 файлов шаблонов статического типа. Фишинговые страницы обновляются синхронно с оригинальным сайтом, что делает невозможным создание цифровых отпечатков или блокировку традиционными сканерами безопасности.
Параллельно развивается другой инструмент — набор 1Phish, нацеленный на пользователей менеджера паролей 1Password. По данным исследователя Мартина МакКлоски из компании Datadog, этот комплекс эволюционировал с сентября 2025 года, превратившись из базового сборщика учетных данных в сложную многоэтапную систему. Теперь он включает уровень предварительной проверки для сбора одноразовых паролей (OTP) и кодов восстановления. В 1Phish встроена логика создания цифровых отпечатков браузера, специально разработанная для фильтрации ботов безопасности, что повышает конверсию атак и усложняет автоматизированный анализ.
Третий вектор угроз представляет собой целенаправленную кампанию против корпоративных аккаунтов североамериканских компаний в Microsoft 365. Исследователи Дживан Сингх Джалал, Прабхакаран Равичандхиран и Ананд Бодке анализируют методы, при которых злоумышленники злоупотребляют потоком авторизации устройств OAuth 2.0 для обхода MFA. Атакующий регистрируется в приложении Microsoft OAuth, генерирует уникальный код устройства и отправляет его жертве через целевое фишинговое письмо.
Жертва переходит на легитимный портал Microsoft по адресу и вводит полученный код. Это действие автоматически выпускает действительный токен доступа OAuth, предоставляя злоумышленнику постоянный доступ к Microsoft 365 и корпоративным данным без необходимости повторной аутентификации.
Четвертая масштабная кампания направлена на банковский сектор, в частности, на банки и кредитные союзы США. Исследователи Шира Реувени и Джошуа Грин из компании BlueVoyant зафиксировали первую волну атак в конце июня 2025 года, за которой в середине ноября 2025 года последовала вторая, более изощренная фаза. Преступники подделывают финансовые веб-сайты, используя домены формата [.]co[.]com.
При переходе по ссылке из письма жертва попадает на мошенническую страницу Cloudflare CAPTCHA, имитирующую стандартную банковскую защиту. Эта нефункциональная капча служит намеренной задержкой, чтобы сбить с толку сканеры безопасности. После этого скрипт, закодированный методом Base64, перенаправляет пользователя на фактическую страницу сбора учетных данных.
Для обхода защитных систем злоумышленники применяют многоуровневые тактики уклонения. Прямое посещение доменов [.]co[.]com запускает перенаправление на искаженный URL-адрес формата www[.]www, обманывая автоматизированные инструменты анализа. Кроме того, кампания использует строгую проверку реферера, элементы управления доступом на основе файлов cookie и сложную обфускацию кода, что полностью блокирует как работу программ безопасности, так и ручной анализ специалистами.
Изображение носит иллюстративный характер
Основной фокус внимания специалистов направлен на новейшую платформу Starkiller, созданную хакерской группировкой Jinkusu. Исследователи Кэлли Барон и Петр Войтыла из кибербезопасной компании Abnormal выяснили, что этот инструмент использует механизм AitM через запуск скрытого экземпляра браузера Google Chrome (Headless Chrome) внутри контейнера Docker. Система загружает реальный сайт целевого бренда и действует как обратный прокси-сервер, вставая прямо между жертвой и легитимным ресурсом, пропуская через инфраструктуру злоумышленников каждое нажатие клавиш, отправку форм и токены сессий.
Starkiller предоставляет клиентам панель управления, интеграцию с сервисом сокращения ссылок TinyURL и возможность использовать в URL-адресах ключевые слова: «login», «verify», «security» или «account». Платформа полностью полагается на проксирование в реальном времени, что означает использование 0 файлов шаблонов статического типа. Фишинговые страницы обновляются синхронно с оригинальным сайтом, что делает невозможным создание цифровых отпечатков или блокировку традиционными сканерами безопасности.
Параллельно развивается другой инструмент — набор 1Phish, нацеленный на пользователей менеджера паролей 1Password. По данным исследователя Мартина МакКлоски из компании Datadog, этот комплекс эволюционировал с сентября 2025 года, превратившись из базового сборщика учетных данных в сложную многоэтапную систему. Теперь он включает уровень предварительной проверки для сбора одноразовых паролей (OTP) и кодов восстановления. В 1Phish встроена логика создания цифровых отпечатков браузера, специально разработанная для фильтрации ботов безопасности, что повышает конверсию атак и усложняет автоматизированный анализ.
Третий вектор угроз представляет собой целенаправленную кампанию против корпоративных аккаунтов североамериканских компаний в Microsoft 365. Исследователи Дживан Сингх Джалал, Прабхакаран Равичандхиран и Ананд Бодке анализируют методы, при которых злоумышленники злоупотребляют потоком авторизации устройств OAuth 2.0 для обхода MFA. Атакующий регистрируется в приложении Microsoft OAuth, генерирует уникальный код устройства и отправляет его жертве через целевое фишинговое письмо.
Жертва переходит на легитимный портал Microsoft по адресу и вводит полученный код. Это действие автоматически выпускает действительный токен доступа OAuth, предоставляя злоумышленнику постоянный доступ к Microsoft 365 и корпоративным данным без необходимости повторной аутентификации.
Четвертая масштабная кампания направлена на банковский сектор, в частности, на банки и кредитные союзы США. Исследователи Шира Реувени и Джошуа Грин из компании BlueVoyant зафиксировали первую волну атак в конце июня 2025 года, за которой в середине ноября 2025 года последовала вторая, более изощренная фаза. Преступники подделывают финансовые веб-сайты, используя домены формата [.]co[.]com.
При переходе по ссылке из письма жертва попадает на мошенническую страницу Cloudflare CAPTCHA, имитирующую стандартную банковскую защиту. Эта нефункциональная капча служит намеренной задержкой, чтобы сбить с толку сканеры безопасности. После этого скрипт, закодированный методом Base64, перенаправляет пользователя на фактическую страницу сбора учетных данных.
Для обхода защитных систем злоумышленники применяют многоуровневые тактики уклонения. Прямое посещение доменов [.]co[.]com запускает перенаправление на искаженный URL-адрес формата www[.]www, обманывая автоматизированные инструменты анализа. Кроме того, кампания использует строгую проверку реферера, элементы управления доступом на основе файлов cookie и сложную обфускацию кода, что полностью блокирует как работу программ безопасности, так и ручной анализ специалистами.
