Investigadores de ciberseguridad han documentado cuatro nuevos kits de phishing llamados BlackForce, GhostFrame, InboxPrime AI y Spiderman que son capaces de suministrar el robo de credenciales a escalera.
BlackForce, detectado por primera vez en agosto de 2025, está diseñado para robar credenciales y realizar ataques Man-in-the-Browser (MitB) para capturar contraseñas de un solo uso (OTP) y evitar la autenticación multifactor (MFA). El kit se vende en los foros de Telegram por entre 200 € (234 dólares) y 300 € (351 dólares).
El kit, según los investigadores de Zscaler ThreatLabz, Gladis Brinda R y Ashwathi Sasi, se ha utilizado para hacerse suceder por más de 11 marcas, incluidas Disney, Netflix, DHL y UPS. Se dice que está en crecimiento activo.
“BlackForce presenta varias técnicas de distracción con una repertorio de sitio que filtra proveedores de seguridad, rastreadores web y escáneres”, dijo la compañía. “BlackForce sigue en crecimiento activo. La traducción 3 se utilizó ampliamente hasta principios de agosto, y las versiones 4 y 5 se lanzaron en los meses siguientes”.
Se ha descubierto que las páginas de phishing conectadas al kit utilizan archivos JavaScript con lo que se ha descrito como hashes de “exterminio de elegancia” en sus nombres (por ejemplo, “index-(hash).js”), lo que obliga al navegador web de la víctima a descargar la última traducción del script ladino en zona de utilizar una traducción almacenada en elegancia.
En un ataque característico que utiliza el kit, las víctimas que hacen clic en un enlace son redirigidas a una página de phishing maliciosa, a posteriori de lo cual una comprobación del costado del servidor filtra los rastreadores y los bots, antiguamente de mostrarles una página diseñada para imitar un sitio web auténtico. Una vez que se ingresan las credenciales en la página, los detalles se capturan y envían a un bot de Telegram y a un panel de comando y control (C2) en tiempo verdadero utilizando un cliente HTTP llamado Axios.
Cuando el atacante intenta iniciar sesión con las credenciales robadas en el sitio web auténtico, se activa un mensaje de MFA. En esta etapa, las técnicas MitB se utilizan para mostrar una página de autenticación MFA falsa en el navegador de la víctima a través del panel C2. Si la víctima ingresa el código MFA en la página falsa, el actor de la amenaza lo recopila y lo utiliza para obtener llegada no competente a su cuenta.
“Una vez que se completa el ataque, la víctima es redirigida a la página de inicio del sitio web auténtico, ocultando evidencia del compromiso y asegurando que la víctima no se dé cuenta del ataque”, dijo Zscaler.
GhostFrame impulsa más de 1 millón de ataques de phishing sigilosos
Otro kit de phishing incipiente que ha manada fuerza desde su descubrimiento en septiembre de 2025 es GhostFrame. En el corazón de la bloque del kit hay un archivo HTML simple que parece inofensivo pero oculta su comportamiento ladino internamente de un iframe integrado, que lleva a las víctimas a una página de inicio de sesión de phishing para robar las credenciales de Microsoft 365 o de la cuenta de Google.
“El diseño del iframe asimismo permite a los atacantes cambiar fácilmente el contenido de phishing, probar nuevos trucos o apuntar a regiones específicas, todo sin cambiar la página web principal que distribuye el kit”, dijo el investigador de seguridad de Barracuda, Sreyas Shetty. “Por otra parte, simplemente actualizando en dirección a dónde apunta el iframe, el kit puede evitar ser detectado por herramientas de seguridad que sólo verifican la página exógeno”.
Los ataques que utilizan el kit GhostFrame comienzan con los típicos correos electrónicos de phishing que afirman tratar sobre contratos comerciales, facturas y solicitudes de restablecimiento de contraseña, pero que están diseñados para resistir a los destinatarios a la página falsa. El kit utiliza antianálisis y antidepuración para evitar intentos de inspeccionarlo utilizando herramientas de crecimiento del navegador y genera un subdominio casual cada vez que algún turista el sitio.
Las páginas exteriores visibles vienen con un script de carga que es responsable de configurar el iframe y replicar a cualquier mensaje del sujeto HTML. Esto puede incluir cambiar el título de la página principal para hacerse suceder por servicios confiables, modificar el favicon del sitio o redirigir la ventana del navegador de nivel superior a otro dominio.
En la etapa final, se envía a la víctima a una página secundaria que contiene los componentes de phishing reales a través del iframe entregado a través del subdominio en constante cambio, lo que dificulta rodear la amenaza. El kit asimismo incorpora un mecanismo de respaldo en forma de un iframe de respaldo adjunto en la parte inferior de la página en caso de que el cargador JavaScript falle o esté bloqueado.
El kit de phishing con IA de InboxPrime automatiza los ataques por correo electrónico
Si BlackForce sigue el mismo manual que otros kits de phishing tradicionales, InboxPrime AI va un paso más allá al servirse la inteligencia industrial (IA) para automatizar campañas de correo masivo. Se anuncia en un canal de Telegram de 1.300 miembros bajo un maniquí de suscripción de malware como servicio (MaaS) por 1.000 dólares, lo que otorga a los compradores una abuso perpetua y llegada completo al código fuente.
“Está diseñado para imitar el comportamiento humano verdadero de remesa de correo electrónico e incluso aprovecha la interfaz web de Gmail para escamotear los mecanismos de filtrado tradicionales”, dijeron los investigadores de Abnormal Callie Baron y Piotr Wojtyla.
“InboxPrime AI combina inteligencia industrial con técnicas de distracción operativa y promete a los ciberdelincuentes una capacidad de entrega casi perfecta, procreación automatizada de campañas y una interfaz pulida y profesional que refleja el software auténtico de marketing por correo electrónico”.
La plataforma emplea una interfaz realizable de usar que permite a los clientes establecer cuentas, servidores proxy, plantillas y campañas, reflejando las herramientas comerciales de automatización de correo electrónico. Una de sus características principales es un alternador de correo electrónico integrado con tecnología de inteligencia industrial, que puede producir correos electrónicos de phishing completos, incluidas las líneas de asunto, de una forma que imita la comunicación comercial legítima.
Al hacerlo, estos servicios reducen aún más la barrera de entrada del delito cibernético, eliminando efectivamente el trabajo manual que implica redactar dichos correos electrónicos. En su zona, los atacantes pueden configurar parámetros, como idioma, tema o industria, largo del correo electrónico y tono deseado, que el kit de herramientas utiliza como entradas para gestar señuelos convincentes que coincidan con el tema escogido.
Es más, el panel permite a los usuarios acatar el correo electrónico producido como una plantilla reutilizable, completa con soporte para spintax para crear variaciones de los mensajes de correo electrónico sustituyendo ciertas variables de la plantilla. Esto garantiza que no haya dos correos electrónicos de phishing que parezcan idénticos y les ayuda a evitar los filtros basados en firmas que buscan patrones de contenido similares.
Algunas de las otras funciones admitidas en InboxPrime AI se enumeran a continuación:
- Un módulo de diagnosis de spam en tiempo verdadero que puede analizar un correo electrónico generado en investigación de activadores comunes del filtro de spam y sugerir correcciones precisas.
- Aleatorización y suplantación de identidad del remitente, lo que permite a los atacantes personalizar los nombres para mostrar para cada sesión de Gmail.
“Esta industrialización del phishing tiene implicaciones directas para los defensores: ahora más atacantes pueden editar más campañas con más tamaño, sin el correspondiente aumento en el ufano de costado o los medios de los defensores”, dijo Abnormal. “Esto no sólo acelera el tiempo de emanación de la campaña, sino que asimismo garantiza una calidad constante del mensaje, permite una orientación temática escalable en todas las industrias y permite a los atacantes ejecutar operaciones de phishing de apariencia profesional sin experiencia en redacción publicitaria”.
Spiderman crea réplicas perfectas de bancos europeos
El tercer kit de phishing que ha pasado desapercibido para la ciberseguridad es Spiderman, que permite a los atacantes apuntar a clientes de docenas de bancos europeos y proveedores de servicios financieros en tilde, como Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna y PayPal.
“Spiderman es un ámbito de phishing completo que replica docenas de páginas de inicio de sesión bancarias europeas e incluso algunos portales gubernamentales”, dijo el investigador de Varonis, Daniel Kelley. “Su interfaz organizada proporciona a los ciberdelincuentes una plataforma todo en uno para editar campañas de phishing, capturar credenciales y diligenciar datos de sesiones robadas en tiempo verdadero”.
Lo trascendente del kit modular es que su tendero comercializa la opción en un congregación de correo Signal que tiene rodeando de 750 miembros, lo que marca una desviación de Telegram. Alemania, Austria, Suiza y Bélgica son los principales objetivos del servicio de phishing.
Como en el caso de BlackForce, Spiderman utiliza varias técnicas como listas de permitidos de ISP, geocercas y filtrado de dispositivos para certificar que solo los objetivos previstos puedan entrar a las páginas de phishing. El kit de herramientas asimismo está equipado para capturar frases iniciales de billeteras de criptomonedas, interceptar códigos OTP y PhotoTAN y activar mensajes para resumir datos de tarjetas de crédito.
“Este enfoque flexible y de varios pasos es particularmente efectivo en el fraude bancario europeo, donde las credenciales de inicio de sesión por sí solas a menudo no son suficientes para autorizar transacciones”, explicó Kelley. “Luego de capturar las credenciales, Spiderman registra cada sesión con un identificador único para que el atacante pueda ayudar la continuidad durante todo el flujo de trabajo de phishing”.
Se detectan ataques híbridos Salty-Tycoon 2FA
BlackForce, GhostFrame, InboxPrime AI y Spiderman son las últimas incorporaciones a una larga repertorio de kits de phishing como Tycoon 2FA, Salty 2FA, Sneaky 2FA, Whisper 2FA, Cephas y Astaroth (que no debe confundirse con un troyano bancario de Windows del mismo nombre) que surgieron durante el año pasado.
En un mensaje publicado a principios de este mes, ANY.RUN dijo que observó un nuevo híbrido Salty-Tycoon que ya está eludiendo las reglas de detección adaptadas a cualquiera de ellos. La nueva ola de ataques coincide con una esforzado caída en la actividad de Salty 2FA a finales de octubre de 2025, con las primeras etapas coincidiendo con Salty2FA, mientras que las etapas posteriores cargan código que reproduce la sujeción de ejecución de Tycoon 2FA.
“Esta superposición marca un cambio significativo; uno que debilita las reglas específicas de los kits, complica la atribución y da a los actores de amenazas más espacio para eludir la detección temprana”, dijo la compañía.
“En conjunto, esto proporciona evidencia clara de que una sola campaña de phishing y, lo que es más interesante, una sola muestra, contiene rastros de Salty 2FA y Tycoon, con Tycoon sirviendo como carga útil alternativa una vez que la infraestructura de Salty dejó de funcionar por razones que aún no están claras”.
