Новые расширенные фишинговые наборы крадут учетные данные в больших масштабах
Исследователи в области кибербезопасности предупреждают о разработке расширенных фишинговых наборов, способных красть учетные данные в больших масштабах и выдавать себя за крупные компании.
Расширенные фишинговые наборы
Количество фишинговых атак продолжает расти, и наряду с программами-вымогателями они представляют собой серьезную угрозу кибербезопасности. Согласно отчету Proofpoint, за последние три года число таких угроз увеличилось на 119%. Совсем недавно были задокументированы четыре новых фишинговых набора под названием BlackForce, GhostFrame, InboxPrime AI и Spiderman, которые способны облегчить кражу учетных данных, еще больше снизив барьер для входа киберпреступников, поскольку они массово продаются в готовых к работе комплектах.
BlackForce
Впервые обнаруженный в августе 2025 года, он предназначен для кражи учетных данных и выполнения атак «Человек в браузере» ( MitB ) для захвата одноразовых паролей (OTP) и обхода многофакторной аутентификации (MFA). Комплект продается на форумах Telegram по цене от 200 до 300 евро. Этот набор, по словам исследователей из Zscaler ThreatLabZ, использовался для фишинга более чем 11 брендов, включая Disney, Netflix, DHL и UPS.
«BlackForce включает в себя различные методы обхода с помощью черного списка, который фильтрует поставщиков средств безопасности, веб-сканеров и сканеров», — заявили в компании. «BlackForce продолжает активную разработку. Версия 3 широко использовалась до начала августа, а версии 4 и 5 были выпущены в последующие месяцы».
Было обнаружено, что фишинговые страницы, подключенные к набору, используют файлы JavaScript с так называемыми хэшами «разрыва кэша» в своих именах (например, «index-[hash].js»), заставляя веб-браузер жертвы загружать последнюю версию. вредоносного скрипта вместо использования кэшированной версии.
В типичной атаке с использованием этого набора жертвы, нажимающие на ссылку, перенаправляются на вредоносную фишинговую страницу. После этого проверка сервера отфильтровывает сканеров и ботов, прежде чем показать им страницу, имитирующую законный веб-сайт. После того, как учетные данные введены на страницу, данные собираются и отправляются боту Telegram и панели управления (C2) в режиме реального времени с помощью HTTP-клиента Axios .
Когда злоумышленник пытается войти в систему с украденными учетными данными на законном веб-сайте, запускается запрос многофакторной аутентификации (MFA). На этом этапе используются методы MitB для отображения поддельной страницы аутентификации MFA в браузере жертвы через панель управления C2. Если жертва вводит код MFA на поддельной странице, злоумышленник собирает его и использует для получения несанкционированного доступа к вашей учетной записи.
GhostFrame
Еще один из новых расширенных фишинговых наборов, набравших обороты с момента своего открытия в сентябре 2025 года, — это GhostFrame. Его архитектура основана на простом HTML-файле, который кажется безвредным, но скрывает свое вредоносное поведение во встроенном iframe, который направляет жертв на страницу входа в систему для фишинга, чтобы украсть учетные данные Microsoft 365 или учетной записи Google.
«Дизайн iframe также позволяет злоумышленникам легко изменять фишинговый контент, пробовать новые приемы или атаковать определенные регионы — и все это без изменения основной веб-страницы, на которой распространяется набор», — заявил Шреяс Шетти, исследователь безопасности Barracuda. «Кроме того, просто обновив адрес iframe, набор может избежать обнаружения инструментами безопасности, которые проверяют только внешнюю страницу».
Атаки с использованием этого набора начинаются с типичных фишинговых писем, предположительно касающихся деловых контрактов, счетов-фактур и запросов на сброс пароля, но предназначены для перенаправления получателей на поддельную страницу. В наборе используются средства защиты от сканирования и очистки, чтобы предотвратить попытки проверки с помощью инструментов разработчика браузера, и он генерирует случайный поддомен каждый раз, когда кто-то посещает сайт.
На последнем этапе жертва перенаправляется на дочернюю страницу, содержащую фишинговые компоненты, через iframe, распространяемый с использованием постоянно меняющегося поддомена, что затрудняет блокировку угрозы. Комплект также включает механизм резервного копирования — резервный iframe, прикрепленный внизу страницы — на случай сбоя или сбоя JavaScript загрузчика.
InboxPrime AI
Если BlackForce следует той же стратегии, что и другие традиционные фишинговые наборы, то InboxPrime AI делает еще один шаг вперед, используя искусственный интеллект для автоматизации кампаний массовой рассылки. Он рекламируется на канале Telegram, насчитывающем 1300 участников, с использованием модели подписки на вредоносное ПО как услугу (MaaS) за 1000 долларов, которая предоставляет покупателям бессрочную лицензию и полный доступ к исходному коду.
«Он разработан для имитации реального поведения электронной почты человека и даже использует веб-интерфейс Gmail, чтобы обойти традиционные механизмы фильтрации», — говорят исследователи. InboxPrime AI сочетает искусственный интеллект с методами оперативного уклонения и обещает киберпреступникам практически безупречную доставку, автоматическую генерацию кампаний и отточенный профессиональный интерфейс, имитирующий законное программное обеспечение для электронного маркетинга.
Платформа использует интуитивно понятный интерфейс, который позволяет клиентам управлять учетными записями, прокси-серверами, шаблонами и кампаниями, имитируя бизнес-инструменты автоматизации электронной почты. Одной из его основных функций является встроенный генератор электронной почты с искусственным интеллектом, способный генерировать целые фишинговые электронные письма, включая тему, таким образом, чтобы имитировать законное деловое общение.
Таким образом, эти сервисы еще больше снижают барьер для входа киберпреступников, эффективно устраняя ручную работу, связанную с составлением таких электронных писем. Вместо этого злоумышленники могут настроить такие параметры, как язык, тема или сектор, размер электронного письма и желаемый тон, которые инструментарий использует в качестве входных данных для создания убедительных приманок, соответствующих выбранной теме.
«Эта индустриализация фишинга имеет прямые последствия для защитников: теперь все больше злоумышленников могут запускать больше кампаний с большим объемом, без последующего увеличения пропускной способности или ресурсов защитников», — объясняют они. «Это не только ускоряет время запуска кампаний, но и обеспечивает стабильное качество сообщений, позволяет масштабировать тематический таргетинг по отраслям и позволяет злоумышленникам проводить фишинговые операции профессионально, не требуя навыков копирайтинга».
Spiderman
Третьим фишинговым набором, который попал в поле зрения кибербезопасности, является Spiderman, который позволяет злоумышленникам атаковать клиентов десятков европейских банков и поставщиков онлайн-финансовых услуг, включая Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna и PayPal.
«Spiderman — это комплексная фишинговая платформа, которая копирует десятки страниц входа в европейские банки и даже некоторые правительственные порталы», — заявил Дэниел Келли, исследователь Varonis. «Его организованный интерфейс предоставляет киберпреступникам комплексную платформу для запуска фишинговых кампаний, сбора учетных данных и управления украденными данными сеанса в режиме реального времени».
Что примечательно в модульном наборе, так это то, что его продавец продает его в группе обмена сообщениями Signal, насчитывающей около 750 участников, что отличается от Telegram. Германия, Австрия, Швейцария и Бельгия являются основными целями фишингового сервиса.
Как и в случае с BlackForce, Spiderman использует различные методы, такие как внесение в белый список интернет-провайдеров (ISP), геозона и фильтрация устройств, чтобы гарантировать, что только получатели могут получить доступ к фишинговым страницам. Инструментарий также предназначен для захвата исходных фраз из криптовалютных кошельков, перехвата кодов OTP и photoTAN и инициирования запросов на сбор данных кредитных карт.
Редактор: AndreyEx
