Pesquisadores de cibersegurança identificaram quatro novos kits de phishing — BlackForce, GhostFrame, InboxPrime AI e Spiderman — capazes de facilitar o roubo em larga escala de credenciais.
O BlackForce, detectado pela primeira vez em agosto de 2025, foi criado para roubar credenciais e realizar ataques Man-in-the-Browser (MitB), capturando senhas de uso único (OTPs) para contornar a autenticação multifator (MFA).
Disponível em fóruns do Telegram, o kit é vendido por valores entre €200 e €300.
De acordo com pesquisadores da Zscaler ThreatLabz, Gladis Brinda R e Ashwathi Sasi, o BlackForce já foi usado para se passar por mais de 11 marcas, incluindo Disney, Netflix, DHL e UPS, e continua em desenvolvimento ativo.
A ferramenta incorpora técnicas robustas de evasão, como blocklists que filtram fornecedores de segurança, crawlers e scanners.
Até agosto de 2025, a versão 3 era a mais utilizada, mas as versões 4 e 5 foram lançadas nos meses seguintes.
As páginas de phishing associadas ao BlackForce usam arquivos JavaScript nomeados com “cache busting hashes” (exemplo: "index-[hash].js”), garantindo que o navegador da vítima carregue sempre a versão mais recente do script malicioso, evitando o uso de cópias armazenadas em cache.
O ataque típico começa quando a vítima clica em um link que a direciona para uma página falsa.
Um filtro do lado do servidor bloqueia bots e crawlers, entregando ao usuário uma página que imita um site legítimo.
As credenciais inseridas são capturadas em tempo real e enviadas para um bot no Telegram e para um painel de comando e controle (C2), usando um cliente HTTP chamado Axios.
Quando o invasor tenta usar as credenciais roubadas no site verdadeiro, é disparada uma solicitação de MFA.
Nesse momento, o método MitB exibe uma página falsa para capturar o código MFA inserido pela vítima.
Se fornecido, esse código é coletado, permitindo o acesso não autorizado.
Após o ataque, o usuário é redirecionado para a página inicial legítima, ocultando a invasão.
Outro kit promissor é o GhostFrame, descoberto em setembro de 2025.
Ele utiliza um arquivo HTML aparentemente inofensivo que esconde um iframe malicioso, direcionando sessões para páginas falsas de login com o objetivo de roubar credenciais do Microsoft 365 e do Google.
A estrutura permite a troca rápida do conteúdo de phishing sem alterar a página principal, dificultando a detecção por ferramentas de segurança.
Os ataques com o GhostFrame começam com emails de phishing que simulam contratos comerciais, faturas ou pedidos de redefinição de senha.
O kit conta com técnicas anti-análise e anti-debug para impedir inspeções em ferramentas de desenvolvimento do navegador e gera subdomínios aleatórios a cada acesso, complicando o bloqueio do ataque.
A página externa contém um script carregador que configura o iframe, responde a mensagens e pode alterar elementos visuais, como título, favicon e redirecionamentos do navegador.
Esse arranjo dificulta o bloqueio e garante que o phishing permaneça ativo mesmo se um script falhar.
O InboxPrime AI representa uma nova fase ao combinar phishing com inteligência artificial.
Oferecido por US$ 1.000 em um canal do Telegram com 1.300 membros, o serviço funciona no modelo malware-as-a-service (MaaS), proporcionando licença vitalícia e acesso total ao código-fonte.
Pesquisadores da Abnormal, Callie Baron e Piotr Wojtyla, destacam que o InboxPrime AI simula o comportamento humano no envio de emails, usando até a interface do Gmail para evitar filtros tradicionais.
O kit oferece automação completa, com geração automática de campanhas, interface intuitiva e criação de emails de phishing realistas por meio da IA.
Usuários configuram parâmetros como idioma, tema, setor, extensão e tom, e a IA gera mensagens convincentes com assunto e corpo.
Os emails podem ser salvos como templates reutilizáveis, com suporte a spintax para variações, o que dificulta filtros baseados em assinaturas.
Entre outras funcionalidades do InboxPrime AI estão diagnóstico em tempo real para identificar triggers de spam e sugestões de correção, além da personalização de remetentes com spoofing para cada sessão do Gmail.
Essa industrialização do phishing aumenta drasticamente a escala e o volume das campanhas, ao mesmo tempo em que reduz a necessidade de habilidades manuais, tornando as operações criminosas mais profissionais e eficazes.
O kit Spiderman, por sua vez, foca em bancos europeus e serviços financeiros online, replicando páginas de login de instituições como Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna e PayPal.
Segundo Daniel Kelley, pesquisador da Varonis, o Spiderman oferece uma plataforma integrada para lançar ataques, capturar credenciais e gerenciar dados roubados em tempo real.
Ao contrário dos demais kits, o Spiderman é comercializado em grupos do Signal, com cerca de 750 membros, e tem como alvo principalmente Alemanha, Áustria, Suíça e Bélgica.
Utiliza técnicas como allowlisting de ISPs, geofencing e filtro de dispositivos para restringir o acesso às páginas de phishing somente às vítimas pretendidas.
O toolkit também captura seed phrases de carteiras de criptomoedas, intercepta OTPs e códigos PhotoTAN, além de solicitar dados de cartão de crédito.
Essa abordagem em múltiplas etapas é especialmente eficaz no cenário bancário europeu, onde credenciais isoladas raramente autorizam transações.
Além desses quatro, há uma tendência de combinações e evolução de kits, como o híbrido Salty-Tycoon 2FA, identificado recentemente pela ANY.RUN.
Esse ataque combina elementos dos kits Salty 2FA e Tycoon 2FA, dificultando a detecção e atribuição, e indica uma evolução que oferece mais flexibilidade e evasão para os criminosos.
A cibersegurança precisa acompanhar essa crescente sofisticação, reforçando mecanismos de defesa e investindo em conscientização para mitigar o impacto dessas ameaças cada vez mais automáticas e refinadas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...