Новые наборы фишинговых инструментов: BlackForce, GhostFrame, InboxPrime AI и Spiderman, могут способствовать масштабной краже учётных данных.
BlackForce
Впервые замеченный в августе 2025 года, разработан для кражи конфиденциальных данных и реализации атак типа «человек посередине». Инструмент позволяет перехватывать одноразовые пароли и обходить двухфакторную аутентификацию. BlackForce применялся для маскировки под известные бренды. Например, Disney, Netflix и т.д.
Особенностью инструмента является способность преодолевать блокировки, направленные против разработчиков антивирусных решений, поисковиков и сетевых сканеров.
Фишинговые страницы характеризуются наличием файлов JavaScript с особыми хэш-значениями в названиях (например, «index-[хэш].js»). Такой подход заставляет браузеры жертв каждый раз заново запрашивать самые свежие вредоносные сценарии, минуя ранее сохранённые копии.
Типичный сценарий атаки предполагает перенаправление пользователя на специальную мошенническую страницу, откуда специальный скрипт фильтрует попытки автоматического доступа от бот-программ и поисковых роботов. При переходе на страницу жертва видит идентичную копию официального сайта. Если пользователь оставит персональные данные, то они попадут в руки злоумышленника через Axios и продублируются в чат Telegram в реальном времени.
Злоумышленники, пытаясь воспользоваться украденными данными для входа на легальные веб-ресурсы, сталкиваются с механизмом многофакторной аутентификации (MFA). Чтобы преодолеть защиту, преступники применяют методику «человек в браузере», создавая поддельную страницу подтверждения MFA прямо в браузере жертвы. Как только жертва вводит нужный код на такой фейковой странице, злоумышленник сразу получает полный доступ к аккаунту.
Чтобы замести следы своего вмешательства, преступники завершают атаку, перенаправляя жертву обратно на официальную домашнюю страницу оригинального сайта. Таким образом, человек оказывается обманутым и даже не подозревает, что его аккаунт был скомпрометирован.
GhostFrame
Запущен в сентябре 2025 года. Основная идея этого набора заключается в использовании простого HTML-документа с вредоносными элементами, через которые жертва попадает на поддельную страницу.
GhostFrame характеризуется своей способностью динамически менять внешний вид фишинговых страниц, что позволяет злоумышленникам быстрее адаптироваться к новым регионам и потребностям конкретной кампании. Каждый визит жертвы сопровождается созданием нового уникального поддомена, который помогает избежать отслеживания специалистами по безопасности. Помимо этого, набор имеет встроенную защиту от попыток провести исследование через стандартные инструменты разработки браузера, затрудняя специалистам изучение вредоносного функционала.
Страницы содержат загрузочный скрипт, который управляет установкой iframe и обработкой всех поступающих сообщений от элементов HTML. Среди возможных действий: смена заголовка главной страницы для симуляции надежных служб, замена иконки сайта или перенаправление главного окна браузера на иной ресурс.
Завершается атака перемещением жертвы на отдельную страницу, содержащую непосредственно фишинговые элементы, передаваемую через iframe с непрерывно сменяемым поддоменом. Эта технология затрудняет блокировку угрозы традиционными методами. Дополнительно реализован аварийный план: дополнительный iframe добавляется внизу страницы в случае отказа основного загрузочного JavaScript или его блокировки.
InboxPrime AI
Интегрирует искусственный интеллект для автоматической генерации массовой почтовой рассылки. InboxPrime AI подражает поведению реальных пользователей при написании писем и использует интерфейс Gmail для обхода стандартных фильтров. Платформа обладает интуитивным интерфейсом, позволяющим владельцам управляться с аккаунтами, прокси-сервером, шаблонами и целевыми кампаниями.
Одной из ключевых особенностей является встроенный ИИ-генератор писем, способный самостоятельно создавать целиком готовые фишинговые послания, имитируя деловой стиль переписки и предлагая разнообразные варианты содержания, чтобы избежать совпадений и эффективнее проходить антиспам-защиту.
Дополнительно система предоставляет функцию диагностирования спама в реальном времени, проверку соответствия требованиям почтового фильтра и возможность гибкого изменения имени отправителя для каждой сессии Gmail. Таким образом, InboxPrime AI упрощает создание профессиональных фишинговых операций, снижая требования к квалификации преступников и увеличивая общий объем проводимых ими атак.
Spiderman
Предоставляет злоумышленникам возможность совершать атаки на пользователей множества европейских банков и онлайн-сервисов финансового сектора.
Spiderman — это комплексная фишинговая платформа, которая создает сотни входных форм для европейских банков и некоторых государственных порталов. Она оснащена удобным интерфейсом, позволяя преступникам организовать фишинговые кампании, собирать данные пользователей и оперативно управлять результатами атак в реальном времени».
Для повышения эффективности атак Spiderman применяет специализированные методики: белые списки интернет-провайдеров, ограничения по географии и фильтрация устройств. Это позволяет обеспечить доступ к фишинговым ресурсам исключительно целевой аудитории. В дополнение к этому набор оснащён возможностями захвата секретных фраз криптовалютных кошельков, одноразовых паролей и специальных фотокодов PhotoTAN.
Особенно опасным аспектом является возможность комплекта инициировать запросы на предоставление сведений о кредитках. Сочетание подобной функциональности и метода регистрации уникальных идентификаторов каждой сессии значительно облегчает продолжение фишинговых процессов.
Тем временем специалисты фиксируют появление гибридных атак, совмещающих инструменты Salty 2FA и Tycoon 2FA. Их внедрение началось одновременно с резким уменьшением активности Salty 2FA в октябре 2025 года.
BlackForce
Впервые замеченный в августе 2025 года, разработан для кражи конфиденциальных данных и реализации атак типа «человек посередине». Инструмент позволяет перехватывать одноразовые пароли и обходить двухфакторную аутентификацию. BlackForce применялся для маскировки под известные бренды. Например, Disney, Netflix и т.д.
Особенностью инструмента является способность преодолевать блокировки, направленные против разработчиков антивирусных решений, поисковиков и сетевых сканеров.
Фишинговые страницы характеризуются наличием файлов JavaScript с особыми хэш-значениями в названиях (например, «index-[хэш].js»). Такой подход заставляет браузеры жертв каждый раз заново запрашивать самые свежие вредоносные сценарии, минуя ранее сохранённые копии.
Типичный сценарий атаки предполагает перенаправление пользователя на специальную мошенническую страницу, откуда специальный скрипт фильтрует попытки автоматического доступа от бот-программ и поисковых роботов. При переходе на страницу жертва видит идентичную копию официального сайта. Если пользователь оставит персональные данные, то они попадут в руки злоумышленника через Axios и продублируются в чат Telegram в реальном времени.
Злоумышленники, пытаясь воспользоваться украденными данными для входа на легальные веб-ресурсы, сталкиваются с механизмом многофакторной аутентификации (MFA). Чтобы преодолеть защиту, преступники применяют методику «человек в браузере», создавая поддельную страницу подтверждения MFA прямо в браузере жертвы. Как только жертва вводит нужный код на такой фейковой странице, злоумышленник сразу получает полный доступ к аккаунту.
Чтобы замести следы своего вмешательства, преступники завершают атаку, перенаправляя жертву обратно на официальную домашнюю страницу оригинального сайта. Таким образом, человек оказывается обманутым и даже не подозревает, что его аккаунт был скомпрометирован.
GhostFrame
Запущен в сентябре 2025 года. Основная идея этого набора заключается в использовании простого HTML-документа с вредоносными элементами, через которые жертва попадает на поддельную страницу.
GhostFrame характеризуется своей способностью динамически менять внешний вид фишинговых страниц, что позволяет злоумышленникам быстрее адаптироваться к новым регионам и потребностям конкретной кампании. Каждый визит жертвы сопровождается созданием нового уникального поддомена, который помогает избежать отслеживания специалистами по безопасности. Помимо этого, набор имеет встроенную защиту от попыток провести исследование через стандартные инструменты разработки браузера, затрудняя специалистам изучение вредоносного функционала.
Страницы содержат загрузочный скрипт, который управляет установкой iframe и обработкой всех поступающих сообщений от элементов HTML. Среди возможных действий: смена заголовка главной страницы для симуляции надежных служб, замена иконки сайта или перенаправление главного окна браузера на иной ресурс.
Завершается атака перемещением жертвы на отдельную страницу, содержащую непосредственно фишинговые элементы, передаваемую через iframe с непрерывно сменяемым поддоменом. Эта технология затрудняет блокировку угрозы традиционными методами. Дополнительно реализован аварийный план: дополнительный iframe добавляется внизу страницы в случае отказа основного загрузочного JavaScript или его блокировки.
InboxPrime AI
Интегрирует искусственный интеллект для автоматической генерации массовой почтовой рассылки. InboxPrime AI подражает поведению реальных пользователей при написании писем и использует интерфейс Gmail для обхода стандартных фильтров. Платформа обладает интуитивным интерфейсом, позволяющим владельцам управляться с аккаунтами, прокси-сервером, шаблонами и целевыми кампаниями.
Одной из ключевых особенностей является встроенный ИИ-генератор писем, способный самостоятельно создавать целиком готовые фишинговые послания, имитируя деловой стиль переписки и предлагая разнообразные варианты содержания, чтобы избежать совпадений и эффективнее проходить антиспам-защиту.
Дополнительно система предоставляет функцию диагностирования спама в реальном времени, проверку соответствия требованиям почтового фильтра и возможность гибкого изменения имени отправителя для каждой сессии Gmail. Таким образом, InboxPrime AI упрощает создание профессиональных фишинговых операций, снижая требования к квалификации преступников и увеличивая общий объем проводимых ими атак.
Spiderman
Предоставляет злоумышленникам возможность совершать атаки на пользователей множества европейских банков и онлайн-сервисов финансового сектора.
Spiderman — это комплексная фишинговая платформа, которая создает сотни входных форм для европейских банков и некоторых государственных порталов. Она оснащена удобным интерфейсом, позволяя преступникам организовать фишинговые кампании, собирать данные пользователей и оперативно управлять результатами атак в реальном времени».
Для повышения эффективности атак Spiderman применяет специализированные методики: белые списки интернет-провайдеров, ограничения по географии и фильтрация устройств. Это позволяет обеспечить доступ к фишинговым ресурсам исключительно целевой аудитории. В дополнение к этому набор оснащён возможностями захвата секретных фраз криптовалютных кошельков, одноразовых паролей и специальных фотокодов PhotoTAN.
Особенно опасным аспектом является возможность комплекта инициировать запросы на предоставление сведений о кредитках. Сочетание подобной функциональности и метода регистрации уникальных идентификаторов каждой сессии значительно облегчает продолжение фишинговых процессов.
Тем временем специалисты фиксируют появление гибридных атак, совмещающих инструменты Salty 2FA и Tycoon 2FA. Их внедрение началось одновременно с резким уменьшением активности Salty 2FA в октябре 2025 года.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь