La mayoría de los sitios web de phishing son más bien copias estáticas de las páginas de inicio de sesión para destinos en línea populares, y a menudo son retirados rápidamente por activistas anti-abuso y empresas de seguridad. Pero una nueva oferta de phishing como un servicio ha permitido a los clientes saltarse ambos problemas: utiliza enlaces disimulados que cargan la página web real del destino deseado, luego actúa como relé entre la víctima y el sitio legítimo —enviando el nombre de usuario, la contraseña y el código MFA al sitio legítimo y devolviendo sus respuestas.
Starkiller carga dinámicamente una copia en vivo de la página de inicio de sesión real e intercepta todo lo que el usuario escribe, proxyeando los datos del sitio legítimo de regreso a la víctima. Según un análisis de la empresa de seguridad Abnormal AI, el servicio permite a los clientes seleccionar una marca para imitar (por ejemplo, Apple, Facebook, Google, Microsoft etc.) y genera un URL engañoso que visualmente se parece al dominio legítimo mientras rutea el tráfico a través de la infraestructura del atacante.
La plataforma también incluye capturas de teclado para cada pulsación de tecla, robo de cookies y tokens de sesión para secuestro directo de cuentas, seguimiento geográfico de los objetivos e informes automatizados de Telegram cuando se reciben nuevas credenciales. La característica