Investigadores de ciberseguridad han revelado detalles de una nueva suite de phishing llamada asesino estrella que representa páginas de inicio de sesión legítimas para evitar las protecciones de autenticación multifactor (MFA).
Un grupo de amenazas que se hace llamar Jinkusu lo anuncia como una plataforma de cibercrimen y otorga a los clientes acceso a un panel que les permite seleccionar una marca para hacerse pasar por ella o ingresar la URL real de una marca. También permite a los usuarios elegir palabras clave personalizadas como «iniciar sesión», «verificar», «seguridad» o «cuenta» e integra acortadores de URL como TinyURL para ocultar la URL de destino.
«Se lanza un instancia de Chrome sin cabeza – un navegador que funciona sin una ventana visible – dentro de un contenedor acoplablecarga el sitio web real de la marca y actúa como un proxy inverso entre el sitio objetivo y el legítimo», afirman los investigadores de Abnormal Callie Baron y Piotr Wojtyla. dicho.
«Los destinatarios reciben contenido de página genuino directamente a través de la infraestructura del atacante, lo que garantiza que la página de phishing nunca quede desactualizada. Y debido a que Starkiller representa el sitio real en vivo, no hay archivos de plantilla para que los proveedores de seguridad tomen huellas dactilares o incluyan en la lista de bloqueo».
Esta técnica de proxy de página de inicio de sesión evita la necesidad de que los atacantes actualicen periódicamente sus plantillas de páginas de phishing a medida que se actualizan las páginas reales que están suplantando.
Dicho de otra manera, el contenedor actúa como un proxy inverso de AitM, reenviando las entradas del usuario final ingresadas en la página en vivo falsificada al sitio legítimo y devolviendo las respuestas del sitio. En el fondo, cada pulsación de tecla, envío de formulario y token de sesión se enruta a través de una infraestructura controlada por el atacante y se captura para tomar el control de la cuenta.
«La plataforma agiliza las operaciones de phishing al centralizar la administración de la infraestructura, la implementación de páginas de phishing y el monitoreo de sesiones dentro de un único panel de control», dijo Abnormal. «Combinado con el enmascaramiento de URL, el secuestro de sesiones y la omisión de MFA, brinda a los ciberdelincuentes poco capacitados acceso a capacidades de ataque que antes estaban fuera de su alcance».
El desarrollo se produce cuando Datadog reveló que el kit 1Phish había evolucionado de un recolector de credenciales básico en septiembre de 2025 a un kit de phishing de varias etapas dirigido a los usuarios de 1Password.
La versión actualizada del kit incorpora una capa de validación y huella digital previa al phishing, soporte para capturar códigos de acceso de un solo uso (OTP) y códigos de recuperación, y lógica de huellas digitales del navegador para filtrar bots.
«Esta progresión refleja una iteración deliberada en lugar de una simple reutilización de plantillas», dijo el investigador de seguridad Martin McCloskey. dicho. «Cada versión se basa en la anterior e introduce controles diseñados para aumentar las tasas de conversión, reducir el análisis automatizado y admitir la recolección de autenticación secundaria».
Los hallazgos muestran que soluciones turcas como Starkiller y 1Phish están convirtiendo cada vez más el phishing en flujos de trabajo estilo SaaS, lo que reduce aún más la barrera de habilidades necesarias para llevar a cabo dichos ataques a escala.
También coinciden con una sofisticada campaña de phishing dirigida a empresas y profesionales norteamericanos al abusar del flujo de concesión de autorización de dispositivos OAuth 2.0 para eludir la autenticación multifactor (MFA) y comprometer las cuentas de Microsoft 365.
Para lograrlo, el atacante se registra en la aplicación Microsoft OAuth y genera un código de dispositivo único, que luego se entrega a la víctima a través de un correo electrónico de phishing dirigido.
«La víctima es dirigida al portal legítimo del dominio de Microsoft (microsoft.com/devicelogin) para ingresar un código de dispositivo proporcionado por el atacante«, investigadores Jeewan Singh Jalal, Prabhakaran Ravichandhiran y Anand Bodke dicho. «Esta acción autentica a la víctima y emite un token de acceso OAuth válido a la aplicación del atacante. El robo en tiempo real de estos tokens otorga al atacante acceso persistente a las cuentas de Microsoft 365 y a los datos corporativos de la víctima».
En los últimos meses, las campañas de phishing también se han dirigido a instituciones financieras, específicamente bancos y cooperativas de crédito con sede en Estados Unidos, para obtener credenciales. Se dice que la campaña se desarrolló en dos fases distintas: una ola inicial que comenzó a finales de junio de 2025 y un conjunto más sofisticado de ataques que comenzó a mediados de noviembre de 2025.
«Los actores comenzaron a registrarse [.]co[.]com falsifican sitios web de instituciones financieras y presentan imitaciones creíbles de instituciones financieras reales», afirman los investigadores de BlueVoyant, Shira Reuveny y Joshua Green. dicho. «Estos [.]co[.]Los dominios com sirven como punto de entrada inicial en una refinada cadena de múltiples etapas».
El dominio, cuando se visita desde un enlace en el que se puede hacer clic en un correo electrónico de phishing, está diseñado para cargar una página CAPTCHA de Cloudflare fraudulenta que imita a la institución objetivo. El CAPTCHA no es funcional y crea un retraso deliberado antes de que un script codificado en Base64 redirija a los usuarios a la página de recolección de credenciales.
En un esfuerzo por evadir la detección y evitar que los escáneres automáticos marquen el contenido malicioso, accedan directamente al [.]co[.]Los dominios com desencadenan una redirección a un archivo «www» con formato incorrecto.[.]URL «www».
«El despliegue por parte del adversario de una cadena de evasión de múltiples capas más avanzada, que incorpora validación de referencia, controles de acceso basados en cookies, retrasos intencionales y ofuscación de código, crea efectivamente una infraestructura más resistente que presenta barreras para las herramientas de seguridad automatizadas y el análisis manual», dijo BlueVoyant.
