Starkiller Phishing Suite Bypass MFA dengan Teknik AitM Reverse Proxy

Peneliti keamanan siber baru-baru ini mengungkapkan sebuah suite phishing baru bernama Starkiller yang menggunakan teknik live reverse proxy untuk melewati sistem multi-factor authentication (MFA). Ini menunjukkan perkembangan signifikan dalam metode serangan phishing yang semakin canggih dan sulit dideteksi.

Teknologi AitM Reverse Proxy dalam Starkiller

Starkiller dipasarkan sebagai platform kejahatan siber oleh kelompok yang menyebut diri mereka Jinkusu. Pelanggan diberikan akses ke dashboard yang memungkinkan mereka memilih merek yang ingin dipalsukan atau memasukkan URL asli merek tersebut. Pengguna juga bisa menentukan kata kunci khusus seperti "login," "verifikasi," "keamanan," atau "akun," serta mengintegrasikan pemendek URL seperti TinyURL untuk menyamarkan alamat tujuan.

Menurut penjelasan peneliti dari Abnormal, Callie Baron dan Piotr Wojtyla,

"Platform ini meluncurkan instance Chrome tanpa tampilan (headless Chrome) di dalam kontainer Docker, memuat situs asli merek tersebut, dan bertindak sebagai reverse proxy antara target dan situs resmi."

Dengan metode ini, korban yang menerima tautan phishing sebenarnya melihat konten asli yang disajikan melalui infrastruktur penyerang, sehingga halaman phishing tidak pernah ketinggalan zaman dan tidak memiliki file template yang dapat dikenali atau diblokir oleh vendor keamanan.

Teknik ini menghilangkan kebutuhan bagi penyerang untuk memperbarui template halaman phishing secara berkala saat situs asli diperbarui. Kontainer tersebut berfungsi sebagai reverse proxy AitM (Adversary-in-the-Middle), meneruskan setiap input pengguna pada halaman palsu ke situs resmi dan mengembalikan responsnya. Semua ketikan, pengiriman formulir, dan token sesi dilewatkan melalui infrastruktur yang dikendalikan penyerang dan dicuri untuk pembajakan akun.

Fitur dan Dampak Platform Starkiller

Abnormal menambahkan,

"Platform ini mempermudah operasi phishing dengan mengelola infrastruktur, penyebaran halaman phishing, dan pemantauan sesi dalam satu panel kontrol. Dikombinasikan dengan penyamaran URL, pembajakan sesi, dan kemampuan bypass MFA, Starkiller memberi akses kepada pelaku kejahatan siber dengan kemampuan yang sebelumnya sulit dijangkau."

Seiring dengan kemunculan Starkiller, terdapat tren serangan phishing yang semakin kompleks. Misalnya, kit phishing 1Phish yang berdasarkan laporan Datadog, berkembang dari pencuri kredensial sederhana pada September 2025 menjadi kit multi-tahap yang menargetkan pengguna 1Password. Versi terbaru menyertakan lapisan validasi pra-phishing, dukungan pengambilan kode OTP dan kode pemulihan, serta logika fingerprint browser untuk menyaring bot otomatis.

Peneliti keamanan Martin McCloskey menyatakan,

"Evolusi ini menunjukkan iterasi sengaja dan bukan sekadar penggunaan ulang template. Setiap versi memperkenalkan kontrol baru untuk meningkatkan tingkat keberhasilan, mengurangi analisis otomatis, dan mendukung pengambilan autentikasi sekunder."

Hal ini memperlihatkan bagaimana solusi phishing seperti Starkiller dan 1Phish mengubah phishing menjadi alur kerja berbasis SaaS, yang menurunkan batas keterampilan yang dibutuhkan pelaku untuk melancarkan serangan secara masif.

Serangan Phishing Menggunakan Kode OAuth dan Target Microsoft 365

Selain itu, terungkap kampanye phishing canggih yang menargetkan bisnis dan profesional di Amerika Utara dengan memanfaatkan alur OAuth 2.0 device authorization grant untuk melewati MFA dan membajak akun Microsoft 365.

Para peneliti Jeewan Singh Jalal, Prabhakaran Ravichandhiran, dan Anand Bodke menjelaskan,

"Pelaku mendaftarkan aplikasi OAuth Microsoft dan menghasilkan kode perangkat unik. Kode ini dikirim ke korban melalui email phishing. Korban diarahkan ke portal resmi Microsoft (microsoft.com/devicelogin) untuk memasukkan kode perangkat tersebut, yang sebenarnya milik pelaku. Tindakan ini mengautentikasi korban dan mengeluarkan token akses OAuth yang valid untuk aplikasi penyerang."

Dengan token ini, penyerang dapat mengakses akun Microsoft 365 korban secara terus-menerus dan mencuri data perusahaan secara real-time.

Fokus Serangan Phishing pada Lembaga Keuangan AS

Beberapa bulan terakhir, kampanye phishing juga menyasar institusi keuangan, khususnya bank dan serikat kredit di AS, untuk mencuri kredensial. Kampanye ini berlangsung dalam dua fase penting: gelombang awal pada Juni 2025 dan serangan yang lebih canggih mulai November 2025.

Peneliti BlueVoyant, Shira Reuveny dan Joshua Green mengungkapkan,

"Pelaku mulai mendaftarkan domain [.]co[.]com yang meniru situs lembaga keuangan asli dengan sangat meyakinkan. Domain ini menjadi titik masuk dalam rantai multi-tahap yang canggih."

Domain tersebut, saat diklik melalui email phishing, menampilkan halaman CAPTCHA Cloudflare palsu yang meniru institusi target. CAPTCHA ini tidak berfungsi dan sengaja dibuat menunggu sebelum skrip Base64 mengarahkan pengguna ke halaman pencuri kredensial.

Untuk menghindari deteksi dan pemindaian otomatis, mengakses domain [.]co[.]com secara langsung mengarahkan ulang ke URL rusak "www[.]www".

BlueVoyant menambahkan,

"Penggunaan rantai pengelakan multi-lapis yang menggabungkan validasi referer, kontrol akses berbasis cookie, penundaan sengaja, dan obfuscation kode menciptakan infrastruktur yang tangguh. Ini menjadi hambatan bagi alat keamanan otomatis maupun analisis manual."

Analisis Redaksi

Menurut pandangan redaksi, kemunculan Starkiller dan teknik phishing serupa menandakan eskalasi serius dalam kemampuan pelaku kejahatan siber. Dengan menggabungkan teknologi reverse proxy AitM yang real-time dan kemampuan bypass MFA, pelaku kini bisa melakukan serangan berlapis tanpa perlu keahlian teknis tinggi. Ini menimbulkan ancaman besar terhadap keamanan data pribadi dan korporasi, terutama saat banyak organisasi bergantung pada MFA sebagai lapisan pertahanan utama.

Selain itu, penyalahgunaan alur OAuth device code oleh penyerang menunjukkan bahwa sistem autentikasi modern pun tidak kebal dari serangan cerdik. Organisasi harus mewaspadai dan memperkuat mekanisme validasi dan monitoring akses aplikasi pihak ketiga secara ketat.

Ke depan, masyarakat dan bisnis perlu meningkatkan kesadaran terhadap phishing berteknologi tinggi ini dan mengadopsi solusi keamanan yang mampu mendeteksi aktivitas anomali serta menerapkan pendekatan berlapis dalam perlindungan akses. Pemantauan aktif dan edukasi pengguna menjadi kunci untuk mengurangi risiko pembajakan akun dan pencurian data.

Terus ikuti perkembangan keamanan siber melalui kanal resmi kami untuk mendapatkan informasi terkini dan strategi pencegahan serangan phishing yang semakin kompleks.