Pesquisadores da Zscaler ThreatLabz reportaram que quatro kits de phishing, somados, já acumularam mais de um milhão de ataques furtivos em diferentes países. Funcionando como ferramentas profissionais para o cibercrime, os conjuntos impressionam pela capacidade de atingir usuários comuns em larga escala.
Batizados de BlackForce, GhostFrame, InboxPrime AI e Spiderman, eles são voltados ao roubo de credenciais digitais. O Spiderman, em particular, foi reportado pelo TecMundo no início desta semana.
BlackForce já afetou Netflix e até Disney
O BlackForce, detectado inicialmente em agosto deste ano, é usado para roubar credenciais e realizar ataques Man-in-the-Browser (MitB). Esse é um tipo de invasão que compromete o navegador web da vítima para interceptar e manipular dados entre os usuários e sites legítimos. O objetivo desse malware é capturar senhas de uso único e contornar autenticação multifator. O kit é veiculado em fóruns do Telegram por valores entre R$ 1.268 e R$ 1.903.
Os pesquisadores afirmaram que o kit já se passou por mais de 11 marcas, incluindo Disney, Netflix, DHL e UPS. Segundo eles, o kit continua em desenvolvimento ativo, com a versão 3 sendo usada até o início de agosto, e as versões 4 e 5 nos meses seguintes.
Páginas ligadas ao kit BlackForce usam arquivos JavaScript nomeados com hashes de “cache busting”, o que faz com que o navegador da vítima baixe a versão mais recente do script, e não use uma versão em cache.
O golpe consiste em redirecionar a vítima para uma página de phishing, por meio de cliques em links, seguido de uma verificação do servidor, que filtra rastreadores e bots. Depois disso, o servidor abre uma página projetada para imitar um site verdadeiro. Assim que ele consegue as senhas inseridas na página, elas são enviadas para um bot do Telegram e um painel de comando e controle (C2) em tempo real, usando um cliente HTTP conhecido como Axios.
O ataque MitB vem depois disso, porque quando o criminoso tenta fazer login com as credenciais roubadas, um prompt de MFA é acionado. A partir desse ponto, são exibidas falsas páginas de autenticação no navegador da vítima, por meio do painel C2. Quando a vítima insere o código de verificação, ele é coletado e usado pelo cibercriminoso para garantir acesso à conta.
GhostFrame rouba dados do Google e M356 e tem plano B
O GhostFrame, descoberto em setembro de 2025, é baseado em um arquivo HTML simples e aparentemente inofensivo. O real perigo de seu comportamento está em um iframe incorporado, que direciona as vítimas para uma página de login de phishing para roubar dados de contas do Google e Microsoft 365.
O golpe começa com e-mails característicos de phishing, que usam urgência sobre contratos comerciais, faturas em aberto e redefinição de senhas – mas que, na verdade, levam as vítimas para páginas falsas.
O kit usa técnicas anti-análise e anti-depuração para prevenir que ferramentas de desenvolvedor do navegador identifiquem a atividade, e ele também gera um subdomínio aleatório cada vez que uma vítima acessa o site.
Alemanha, Áustria, Suíça e Bélgica são os principais alvos dessa campanha – que está sendo vendida em um grupo do Signal. As páginas externas visíveis vêm com um script de carregamento que é responsável por configurar o iframe e responder a quaisquer mensagens do elemento HTML.
Isso pode incluir alterar o título da página para se passar por serviços confiáveis, modificar o favicon do site – que ajuda usuários a identificarem de forma mais fácil sites na barra de favoritos, por exemplo – ou redirecionar a janela do navegador de nível superior para outro domínio.
No estágio final, a vítima é enviada para uma página secundária contendo os componentes reais de phishing através do iframe entregue via subdomínio em constante mudança, o que torna mais difícil bloquear a ameaça. O kit também incorpora um mecanismo de fallback na forma de um iframe de backup anexado na parte inferior da página, caso o JavaScript do carregador falhe ou seja bloqueado.
InboxPrime AI é o primo rico do Black Force
O InboxPrime AI é a versão mais avançada do BlackForce no quesito aproveitamento de IA para automatização de campanhas de envio em massa. Vendido no Telegram – em um grupo com mais de 1.300 membros, por mais de R$ 5 mil – o InboxPrime AI é um modelo de assinatura de malware-as-a-service com licença perpétua.
Especialistas em cibersegurança da Abnormal afirmam que ele foi programado para imitar o comportamento de envios de e-mails humanos e, para isso, usa a interface web do Gmail para escapar de mecanismos de filtragem. Ao combinar técnicas de evasão operacional com Inteligência Artificial, ele gera um produto à prova de balas, capaz de gerenciar contas, proxies, modelos e campanhas.
Além disso, um de seus principais recursos é um gerador de e-mail, alimentado por IA, que gera a mensagem de phishing inteira sozinho. Da linha de assunto à assinatura. Isso permite que qualquer pessoa, mesmo sem histórico em crimes, ou até mesmo tecnologia, aplique golpes mais sofisticados. Isso porque, quanto melhor elaborados os e-mails, mais os criminosos podem focar em configurações de parâmetros.
As mensagens ficam cada vez mais profissionais e convincentes ao mesmo passo que o público fica mais segmentado e vulnerável.
Outras habilidades do InboxPrime AI incluem a opção de salvar o e-mail perfeito como um modelo reutilizável – com suporte para spintax, uma configuração que cria variações da mensagem substituindo certas palavras para evitar que a mensagem vá para spam.
O kit ainda tem um módulo de diagnóstico de spam em tempo real, que sugere correções, e é capaz de randomizar e falsificar a identidade do remetente.
Kit do “Homem-Aranha” mira usuários de bancos europeus
O quarto kit encontrado é o Spiderman, que ajuda os criminosos a acessarem contas de bancos e serviços financeiros de europeus. O kit tem uma estrutura profissional e um escopo que permite acesso tudo-em-um para os cibercriminosos, inclusive possibilidades de lançar campanhas de phishing, roubar credenciais e gerenciar em tempo real os dados roubados.
Seu painel de controle exibe sessões das vítimas em tempo real, o que dá chance para os criminosos acompanharem o status de cada alvo, bancos, entradas do usuário e detalhes do dispositivo. Além de dar acesso a certas ferramentas com o objetivo de otimizar os ataques como:
- monitoramento de sessão ao vivo;
- exportação de credenciais com um clique;
- coleta completa de cartão de crédito e identidade;
- captura do PhotoTAN, um verificador de identidade que substitui listas de senhas ou SMS, usando uma espécie de QR Code colorido que é escaneado pelo aplicativo do banco no seu smartphone para gerar um código de segurança único.
Para saber mais sobre a evolução desses kits, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
