文章总结： 本文汇总了2026年初多起高级钓鱼攻击案例：Starkiller钓鱼套件利用Docker容器内无头Chrome作为AitM反向代理，实时代理合法网站页面以绕过MFA并窃取会话令牌，实现账户接管；1Phish套件演进为针对1Password的多阶段攻击工具；另有攻击者滥用OAuth2.0设备授权流程和URL重定向机制，将政府与企业用户从可信域名重定向至恶意基础设施，最终投放恶意LNK载荷实现终端持久化。攻击趋势显示网络钓鱼正转向SaaS化工作流，协议信任关系成为新的攻击面。建议企业严格管控OAuth应用注册与权限、实施跨域检测及条件访问策略以降低风险。 综合评分： 72 文章分类： 威胁情报,钓鱼攻击利用OAuth重定向绕过防御机制,WEB安全,安全意识,社会工程学

Starkiller 钓鱼套件利用 AitM 反向代理绕过多因素身份验证

原创

thehacknews thehacknews

安全行者老霍

2026年3月29日 09:02 日本

作者：Ravie Lakshmanan

发布时间：2026年3月3日

网络安全研究人员披露了名为 Starkiller 的新型钓鱼套件的详细信息，该套件通过代理合法登录页面来绕过多因素身份验证（MFA）的防护。

该套件由自称“Jinkusu”的威胁组织作为网络犯罪平台进行推广，允许客户访问一个控制面板，在其中选择要冒充的品牌或输入品牌的真实网址。它还允许用户选择“登录”、“验证”、“安全”或“账户”等自定义关键词，并集成了TinyURL等网址缩短服务来掩盖目标网址。

“它会在 Docker 容器内启动一个无头 Chrome 实例–即不显示窗口的浏览器–加载该品牌的真实网站，并充当目标用户与合法网站之间的反向代理，”Abnormal 研究人员 Callie Baron 和 Piotr Wojtyla 表示。

“用户通过攻击者的基础设施直接获取真实的页面内容，确保钓鱼页面永远不会过时。而且由于Starkiller实时代理真实网站，安全厂商无法通过模板文件进行指纹识别或加入黑名单。”

这种登录页面代理技术使攻击者无需随着被冒充的真实页面更新而定期更新钓鱼页面模板。

换言之，该容器充当 AitM 反向代理（能解密流量、能控制内容的中间人型反向代理），将终端用户在伪造的实时页面上输入的内容转发至合法网站，并返回该网站的响应。在后台，每个按键操作、表单提交和会话令牌都会被路由至攻击者控制的基础设施，并被捕获以实现账户接管。

“该平台通过在单一控制面板内集中管理基础设施、部署钓鱼页面及监控会话，从而简化了钓鱼攻击操作，”Abnormal表示。“结合URL伪装、会话劫持和多因素认证绕过功能，它使技术水平较低的网络犯罪分子也能获得此前难以企及的攻击能力。”

这一进展正值 Datadog 披露，1Phish 套件已从 2025 年 9 月的简单凭证窃取工具，演变为针对 1Password 用户的多阶段钓鱼套件。

该套件的更新版本集成了钓鱼前的指纹识别和验证层，支持捕获一次性密码（OTP）和恢复码，并采用浏览器指纹识别逻辑来过滤机器人。

“这种演进体现了有意识的迭代，而非简单的模板复用，”安全研究员Martin McCloskey表示。“每个版本都在前一版本基础上进行构建，引入了旨在提高转化率、降低自动化分析检测概率并支持二次认证信息窃取的控制措施。”

研究结果表明，Starkiller和1Phish等“开箱即用”解决方案正日益将网络钓鱼转变为SaaS式工作流，进一步降低了大规模实施此类攻击所需的技能门槛。

与此同时，一场针对北美企业和专业人士的复杂网络钓鱼活动也浮出水面。该活动滥用OAuth 2.0设备授权授予流程，绕过多因素身份验证（MFA），从而入侵Microsoft 365账户。

为实现这一目的，攻击者会在微软OAuth应用程序上注册并生成一个唯一的设备代码，随后通过定向钓鱼邮件将该代码发送给受害者。

“受害者会被引导至合法的微软域名（microsoft.com/devicelogin）门户，输入攻击者提供的设备代码，”研究员Jeewan Singh Jalal、Prabhakaran Ravichandhiran和Anand Bodke表示。“此操作会验证受害者的身份，并向攻击者的应用程序发放有效的 OAuth 访问令牌。实时窃取这些令牌使攻击者能够持续访问受害者的 Microsoft 365 账户和企业数据。”

近几个月来，钓鱼攻击活动还针对金融机构，特别是美国本土的银行和信用合作社，以窃取凭证。据悉，该攻击活动分为两个截然不同的阶段：第一波始于2025年6月下旬，而更复杂的攻击系列则始于2025年11月中旬。

“攻击者开始注册冒充金融机构网站的[.]co[.]com域名，对真实金融机构进行了可信的伪装，”BlueVoyant的研究员Shira Reuveny和Joshua Green表示。“这些[.]co[.]com域名作为精心设计的多阶段攻击链中的初始入口。”

当用户通过钓鱼邮件中的可点击链接访问该域名时，系统会加载一个伪造的 Cloudflare CAPTCHA 页面，该页面模仿了目标机构的外观。该 CAPTCHA 页面无法正常工作，会在用户被 Base64 编码的脚本重定向至凭证窃取页面之前制造出人为延迟。

为了规避检测并防止自动化扫描器标记恶意内容，直接访问 [.]co[.]com 域名会触发重定向至一个格式错误的“www[.]www”URL。

BlueVoyant 指出：“攻击者部署了更先进的多层规避链–融合了来源验证、基于 Cookie 的访问控制、故意延迟以及代码混淆技术–从而有效构建了更具韧性的基础设施，为自动化安全工具和人工分析设置了障碍。”

https://thehackernews.com/2026/03/starkiller-phishing-suite-uses-aitm.html

钓鱼攻击利用 OAuth 重定向绕过防御机制

作者：Pierluigi Paganini

发布时间：2026年3月3日

微软研究人员警告称，威胁行为者正在滥用 OAuth 重定向功能，将政府用户作为攻击目标并传播恶意软件。

微软已就针对政府和公共部门组织的钓鱼攻击活动发出警告，这些攻击利用了 OAuth URL 重定向机制。攻击者并未窃取凭据或利用软件漏洞，而是利用 OAuth 设计中的合法行为来绕过电子邮件和浏览器的防御机制。该策略将受害者重定向至攻击者控制的基础设施，因此这是一种基于身份的威胁，而非传统的漏洞利用。

“微软Defender研究人员发现了一系列钓鱼攻击活动，这些活动利用合法的OAuth协议功能操纵URL重定向，从而绕过电子邮件和浏览器中的常规钓鱼防御机制。”安全公告中写道。“在调查过程中，已识别并移除了多个恶意OAuth应用程序，以缓解该威胁。”

OAuth允许身份提供商在定义的流程中（如错误处理）将用户重定向至特定页面。攻击者通过伪造包含 Entra ID 或 Google Workspace 等可信服务的 URL，篡改参数或利用恶意应用，将用户引导至攻击者控制的页面，从而滥用此功能。这些链接看似合法，实则指向恶意网站。

攻击链首先在攻击者控制的租户中创建一个恶意 OAuth 应用，并将重定向 URI 设置为托管恶意软件的域名。随后，他们发送以文档、支付或会议为主题的钓鱼邮件，其中包含精心构造的 OAuth 链接。

当受害者点击链接时，该链接会利用经过篡改的参数（如 prompt=none 或无效的权限范围）触发静默 OAuth 流程，从而强制引发错误。

“该技术通过使用 prompt=none 及故意设置的无效权限范围等参数，滥用了 OAuth 2.0 授权端点。其请求并非旨在完成成功的身份验证，而是设计为在不显示用户界面的情况下，迫使身份提供商评估会话状态和条件访问策略。”报告继续指出。“设置无效范围是触发错误及后续重定向的一种方法，但并非观察到的唯一机制。”

身份提供商并未完成身份验证，而是将用户重定向至攻击者注册的域名，并利用可信的微软或谷歌 URL 伪装成合法网站。

该重定向通常会导向钓鱼框架或恶意软件下载页面。在某些攻击活动中，受害者会自动收到一个包含恶意 LNK 快捷方式的 ZIP 文件。

“在滥用 OAuth 重定向技术并使用各种着陆页的威胁行为者和攻击活动中，我们发现了一个试图投放恶意有效载荷的特定攻击活动。”报告继续写道。“该活动将在下文中详细描述。

• 重定向后，受害者会被引导至 /download/XXXX 路径，系统会自动将 ZIP 文件下载到目标设备上。
• 观察到的有效载荷包括包含 LNK 快捷方式文件和 HTML 走私加载器的 ZIP 压缩包。”

打开后，它会运行 PowerShell 命令、执行系统侦察、提取其他文件，并侧载一个恶意 DLL。最终的有效载荷在内存中执行并连接到命令与控制服务器，将攻击从针对凭据的攻击转变为对终端设备的全面控制和持久化。

企业应通过严格管控 OAuth 应用、限制用户授权、定期审查权限以及移除闲置或权限过高的应用来降低风险。强有力的身份保护、条件访问策略，以及覆盖电子邮件、身份和终端的跨域检测，有助于阻止攻击者滥用受信任的身份验证流程进行钓鱼攻击或恶意软件分发。

该报告重点指出，此类基于身份的威胁并非利用软件漏洞或被盗凭证，而是利用 OAuth 设计中的重定向行为。通过故意触发授权错误，攻击者可将用户从受信任的身份提供商重定向至恶意网站。随着针对凭证盗窃的防御措施不断完善，攻击者正越来越多地将目标转向协议信任和标准功能，这凸显了加强 OAuth 治理和协调安全措施的必要性。

“这些攻击活动表明，此类滥用行为已具实际操作性，而非理论推测。恶意但符合标准的应用程序可以滥用合法的错误处理流程，将用户从受信任的身份提供商重定向至攻击者控制的基础设施。”报告总结道。“随着组织加强针对凭证盗窃和多因素认证（MFA）绕过攻击的防御措施，攻击者反而越来越多地将目标转向信任关系和协议行为。”

Phishing campaign exploits OAuth redirection to bypass defenses

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 thehacknews thehacknews《Starkiller 钓鱼套件利用 AitM 反向代理绕过多因素身份验证》