Los investigadores de ciberseguridad han revelado detalles de una nueva suite de suplantación de identidad llamada Asesino de estrellas que utiliza como proxy las páginas de inicio de sesión legítimas para eludir las protecciones de autenticación multifactor (MFA).
Un grupo de amenazas que se hace llamar Jinkusu la anuncia como una plataforma de ciberdelincuencia, y otorga a los clientes acceso a un panel que les permite seleccionar una marca para hacerse pasar por ella o introducir la URL real de una marca. También permite a los usuarios elegir palabras clave personalizadas, como «iniciar sesión», «verificar», «seguridad» o «cuenta», e integra abreviadores de URL, como tinyURL, para ocultar la URL de destino.
«Lanza un instancia de Chrome sin cabeza — un navegador que funciona sin una ventana visible — dentro de un Contenedor Docker , carga el sitio web real de la marca y actúa como un intermediario inverso entre el sitio objetivo y el sitio legítimo», dijeron los investigadores de Abnormal Callie Baron y Piotr Wojtyla dijo .
«Los destinatarios reciben contenido genuino de la página directamente a través de la infraestructura del atacante, lo que garantiza que la página de suplantación de identidad nunca quede obsoleta. Además, dado que Starkiller envía por proxy el sitio real en tiempo real, no hay archivos de plantilla para que los proveedores de seguridad puedan tomar las huellas digitales o incluirlos en listas de bloqueo».
Esta técnica de proxy de páginas de inicio de sesión evita que los atacantes tengan que actualizar periódicamente sus plantillas de páginas de suplantación de identidad a medida que se actualizan las páginas reales por las que se hacen pasar.
adsenseDicho de otro modo, el contenedor actúa como un proxy inverso de AiTM, reenviando las entradas del usuario final introducidas en la página en vivo falsificada al sitio legítimo y devolviendo las respuestas del sitio. En pocas palabras, cada vez que se pulsa una tecla, se envía un formulario y cada token de sesión pasa a través de una infraestructura controlada por un atacante y se captura para hacerse con el control de la cuenta.
«La plataforma agiliza las operaciones de suplantación de identidad al centralizar la administración de la infraestructura, el despliegue de páginas de suplantación de identidad y la supervisión de las sesiones en un único panel de control», afirma Abnormal. «En combinación con el enmascaramiento de URL, el secuestro de sesiones y la elusión de la autenticación multifactor, permite a los ciberdelincuentes poco cualificados acceder a capacidades de ataque que antes estaban fuera de su alcance».
El desarrollo se produce cuando Datadog reveló que el kit 1Phish había pasado de ser un recolector de credenciales básico en septiembre de 2025 a un kit de suplantación de identidad de varias etapas dirigido a los usuarios de 1Password.
La versión actualizada del kit incorpora una capa de validación y huella digital previa a la suplantación de identidad, admite la captura de códigos de acceso de un solo uso (OTP) y códigos de recuperación, y una lógica de toma de huellas dactilares del navegador para filtrar los bots.
«Esta progresión refleja una iteración deliberada en lugar de una simple reutilización de plantillas», dijo el investigador de seguridad Martin McCloskey dijo . «Cada versión se basa en la anterior e introduce controles diseñados para aumentar las tasas de conversión, reducir los análisis automatizados y permitir la recopilación de la autenticación secundaria».
Los hallazgos muestran que las soluciones para Turquía, como Starkiller y 1Phish, convierten cada vez más el phishing en flujos de trabajo tipo SaaS, lo que reduce aún más la barrera de habilidades necesaria para llevar a cabo este tipo de ataques a gran escala.
También coinciden con una sofisticada campaña de suplantación de identidad dirigida a empresas y profesionales de América del Norte mediante el uso indebido del flujo de autorización de dispositivos OAuth 2.0 para eludir la autenticación multifactor (MFA) y comprometer las cuentas de Microsoft 365.
Para lograrlo, el atacante se registra en la aplicación OAuth de Microsoft y genera un código de dispositivo , que luego se envía a la víctima a través de un correo electrónico de suplantación de identidad dirigido.
«Se dirige a la víctima al portal legítimo de dominio de Microsoft (microsoft.com/devicelogin) para ingresar a un código de dispositivo suministrado por el atacante », los investigadores Jeewan Singh Jalal, Prabhakaran Ravichandhiran y Anand Bodke dijo . «Esta acción autentica a la víctima y emite un token de acceso OAuth válido a la aplicación del atacante. El robo en tiempo real de estos tokens otorga al atacante un acceso persistente a las cuentas de Microsoft 365 y a los datos corporativos de la víctima».
En los últimos meses, las campañas de suplantación de identidad también se han dirigido a las instituciones financieras, específicamente a los bancos y cooperativas de ahorro y crédito con sede en EE. UU., para obtener credenciales. Se dice que la campaña se desarrolló en dos fases distintas: una primera oleada que comenzó a finales de junio de 2025 y una serie de ataques más sofisticados que comenzaron a mediados de noviembre de 2025.
enlaces«Los actores empezaron a registrar dominios [.] co [.] com falsificando sitios web de instituciones financieras y presentando suplantaciones creíbles de instituciones financieras reales», dijeron Shira Reuveny y Joshua Green, investigadores de BlueVoyant dijo . «Estos dominios [.] co [.] com sirven como punto de entrada inicial en una cadena refinada de varias etapas».
El dominio, cuando se visita desde un enlace en el que se puede hacer clic en un correo electrónico de suplantación de identidad, está diseñado para cargar una página CAPTCHA de Cloudflare fraudulenta que imita a la institución objetivo. El CAPTCHA no funciona y provoca un retraso deliberado antes de que un script codificado en Base64 redirija a los usuarios a la página de recopilación de credenciales.
En un esfuerzo por evitar la detección y evitar que los escáneres automatizados marquen el contenido malicioso, el acceso directo a los dominios [.] co [.] com desencadena una redirección a una URL «www [.] www» con formato incorrecto.
«El despliegue por parte del adversario de una cadena de evasión de varios niveles más avanzada, que incorpora la validación de los remitentes, los controles de acceso basados en cookies, los retrasos intencionados y la ofuscación del código, crea de manera efectiva una infraestructura más resiliente que presenta barreras para las herramientas de seguridad automatizadas y el análisis manual», afirma BlueVoyant.
Fuentes de Información: THEHACKERNEWS