Los investigadores de ciberseguridad han documentado cuatro nuevos kits de phishing llamados BlackForce, GhostFrame, InboxPrime AI y Spiderman que pueden facilitar el robo de credenciales a gran escala.
Detectado por primera vez en agosto de 2025, BlackForce está diseñado para robar credenciales y realizar ataques Man-in-the-Browser (MitB) para capturar contraseñas de un solo uso (OTP) y evitar la autenticación multifactor (MFA). El kit se vende en los foros de Telegram por entre 200 euros (234 dólares) y 300 euros (351 dólares).
Según los investigadores de Zscaler ThreatLabz, Gladis Brinda R y Ashwathi Sasi, el kit se ha utilizado para hacerse pasar por más de 11 marcas, incluidas Disney, Netflix, DHL y UPS. Actualmente se encuentra en desarrollo activo.
«BlackForce presenta varias técnicas de evasión con listas de bloqueo que excluyen a proveedores de seguridad, rastreadores web y escáneres», dijo la compañía. «BlackForce continúa en desarrollo activo. La versión 3 estuvo en uso generalizado hasta principios de agosto, y las versiones 4 y 5 se lanzaron en los meses siguientes».
Se ha descubierto que las páginas de phishing conectadas a este kit utilizan archivos JavaScript con lo que se conoce como hash de «eliminación de caché» en sus nombres (por ejemplo, «index-(hash).js»). Por lo tanto, el navegador web de la víctima debe descargar la última versión del script malicioso en lugar de utilizar la versión almacenada en caché.
En un ataque típico que utiliza este kit, las víctimas que hacen clic en un enlace son redirigidas a una página de phishing maliciosa que luego se filtra en busca de rastreadores y bots mediante comprobaciones del lado del servidor antes de mostrarles una página diseñada para imitar un sitio web legítimo. Una vez que se ingresan las credenciales en la página, los detalles se capturan y envían en tiempo real al bot de Telegram y al panel de comando y control (C2) utilizando un cliente HTTP llamado Axios.
Cuando un atacante intenta iniciar sesión en un sitio web legítimo utilizando credenciales robadas, se activa un mensaje de MFA. Esta etapa utiliza la técnica MitB para mostrar una página de autenticación MFA falsa en el navegador de la víctima a través del panel C2. Cuando una víctima ingresa un código MFA en una página falsa, un atacante recopila y utiliza ese código para obtener acceso no autorizado a su cuenta.
«Una vez que se completa el ataque, la víctima es redirigida a la página de inicio del sitio web legítimo, ocultando cualquier evidencia del compromiso e impidiendo que la víctima se dé cuenta del ataque», dijo Zscaler.
GhostFrame facilita más de 1 millón de ataques de phishing sigilosos
Otro kit de phishing temprano que ha llamado la atención desde su descubrimiento en septiembre de 2025 es GhostFrame. El núcleo de la arquitectura del kit es un archivo HTML simple que parece benigno pero oculta un comportamiento malicioso dentro de un iframe integrado. Esto lleva a las víctimas a una página de inicio de sesión de phishing donde se roban las credenciales de su cuenta de Microsoft 365 o Google.
«El diseño del iframe permite a los atacantes cambiar fácilmente el contenido de phishing, probar nuevos trucos o apuntar a regiones específicas sin cambiar la página web principal donde distribuyen sus kits», dijo Sreyas Shetty, investigador de seguridad de Barracuda. «Además, simplemente actualizar la ubicación a la que apunta el iframe evitará que el kit sea detectado por herramientas de seguridad que solo verifican la página exterior».
Los ataques que utilizan el kit GhostFrame comienzan con los típicos correos electrónicos de phishing que afirman tratar sobre contratos comerciales, facturas o solicitudes de restablecimiento de contraseña, pero que están diseñados para redirigir a los destinatarios a una página falsa. El kit utiliza antianálisis y antidepuración para evitar intentos de inspección utilizando herramientas de desarrollo del navegador y genera un subdominio aleatorio cada vez que alguien visita su sitio.
La página exterior que se representa tiene un script de carga que configura el iframe y responde a los mensajes de los elementos HTML. Esto puede incluir cambiar el título de la página principal para hacerse pasar por un servicio confiable, cambiar el favicon del sitio o redirigir la ventana del navegador de nivel superior a otro dominio.
En la etapa final, se envía a la víctima a una página secundaria que contiene el componente de phishing real a través de un iframe entregado a través de un subdominio en constante cambio, lo que hace que la amenaza sea difícil de bloquear. El kit también incluye un mecanismo de respaldo en forma de un iframe de respaldo agregado al final de la página en caso de que el cargador JavaScript falle o esté bloqueado.
InboxPrime AI Phishing Kit automatiza los ataques por correo electrónico
Si bien BlackForce sigue la misma estrategia que otros kits de phishing tradicionales, InboxPrime AI va un paso más allá al aprovechar la inteligencia artificial (IA) para automatizar campañas masivas de correo electrónico. Se promociona en un canal de Telegram con 1.300 miembros bajo un modelo de suscripción de malware como servicio (MaaS) de 1.000 dólares, que otorga a los compradores una licencia perpetua y acceso completo al código fuente.
«Está diseñado para imitar el comportamiento humano real de envío de correo electrónico e incluso aprovecha la interfaz web de Gmail para evitar los mecanismos de filtrado tradicionales», dijeron los investigadores anormales Karrie Baron y Piotr Wojtyla.
«InboxPrime AI combina inteligencia artificial y técnicas de evasión operativa para prometer a los ciberdelincuentes una accesibilidad casi perfecta, generación automática de campañas y una interfaz elegante y profesional que refleja el software legítimo de marketing por correo electrónico».
La plataforma presenta una interfaz fácil de usar que permite a los clientes administrar cuentas, servidores proxy, plantillas y campañas, reflejando las herramientas comerciales de automatización de correo electrónico. Una de sus características principales incluye un generador de correo electrónico integrado con tecnología de inteligencia artificial que le permite crear correos electrónicos de phishing completos, incluida la línea de asunto, de una manera que imita las comunicaciones comerciales legítimas.
Al hacerlo, estos servicios reducen aún más la barrera de entrada del ciberdelito, eliminando efectivamente el trabajo manual necesario para crear dichos correos electrónicos. En cambio, los atacantes pueden establecer parámetros como idioma, tema, industria, longitud del correo electrónico y tono deseado. El kit de herramientas los utiliza como información para generar presentaciones persuasivas que coincidan con el tema elegido.
Además, el panel permite a los usuarios guardar los correos electrónicos creados como plantillas reutilizables y admite spintax para crear variaciones de mensajes de correo electrónico reemplazando ciertas variables de plantilla. Esto garantiza que no haya dos correos electrónicos de phishing iguales y les permite evitar los filtros basados en firmas que buscan patrones de contenido similares.
Estas son algunas de las otras funciones admitidas por InboxPrime AI:
Módulo de diagnóstico de spam en tiempo real que puede analizar los correos electrónicos generados en busca de activadores comunes de filtros de spam y sugerir soluciones precisas. La aleatorización y la suplantación de ID del remitente permiten a los atacantes personalizar los nombres para mostrar para cada sesión de Gmail.
«Esta industrialización del phishing tiene un impacto directo en los defensores, permitiendo que más atacantes lancen más campañas en mayores volúmenes sin requerir un aumento correspondiente en el ancho de banda y los recursos de los defensores», dijo Abnormal. «Esto no sólo acelera los tiempos de lanzamiento de campañas, sino que también garantiza una calidad constante de los mensajes, permite una orientación temática escalable en todas las industrias y permite a los atacantes ejecutar operaciones de phishing de apariencia profesional sin la necesidad de tener experiencia en redacción».
Spider-Man crea una réplica perfecta en píxeles de un banco europeo
El tercer kit de phishing bajo vigilancia de ciberseguridad es Spiderman. Esto permite a los atacantes atacar a clientes de docenas de bancos europeos y proveedores de servicios financieros en línea, incluidos Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna y PayPal.
«Spider-Man es un marco de phishing completo que replica docenas de páginas de inicio de sesión de bancos europeos e incluso algunos portales gubernamentales», dijo el investigador de Varonis, Daniel Kelly. «Su interfaz ordenada proporciona a los ciberdelincuentes una plataforma todo en uno para lanzar campañas de phishing, capturar credenciales y gestionar datos de sesiones robadas en tiempo real».
Lo notable de este kit modular es que el vendedor vende la solución en el grupo de mensajería Signal, que tiene alrededor de 750 miembros, lo que marca una desviación de Telegram. Alemania, Austria, Suiza y Bélgica son los principales objetivos del servicio de phishing.
Al igual que BlackForce, Spider-Man utiliza varias técnicas, como listas blancas de ISP, geocercas y filtrado de dispositivos para garantizar que solo los objetivos previstos puedan acceder a las páginas de phishing. El kit de herramientas también tiene la capacidad de capturar frases iniciales de billeteras de criptomonedas, interceptar códigos OTP y PhotoTAN y activar mensajes para recopilar datos de tarjetas de crédito.
«Este enfoque flexible y de varios pasos es particularmente eficaz para el fraude bancario europeo, donde las credenciales de inicio de sesión por sí solas a menudo no son suficientes para autorizar una transacción», explicó Kelly. «Después de adquirir las credenciales, Spider-Man registra cada sesión utilizando un identificador único, lo que permite a los atacantes mantener la continuidad durante todo el flujo de trabajo de phishing».
Descubierto el ataque híbrido Salty-Tycoon 2FA
BlackForce, GhostFrame, InboxPrime AI y Spiderman son incorporaciones recientes a una larga lista de kits de phishing que surgieron durante el año pasado, incluidos Tycoon 2FA, Salty 2FA, Sneaky 2FA, Whisper 2FA, Cephas y Astaroth (que no debe confundirse con el troyano bancario de Windows del mismo nombre).
ANY.RUN dijo en un informe publicado a principios de este mes que había observado un nuevo híbrido Salty-Tycoon que ya había eludido las reglas de detección diseñadas para Salty o Tycoon. La nueva ola de ataques coincide con una caída repentina en la actividad de Salty 2FA a fines de octubre de 2025, con las primeras etapas coincidiendo con Salty2FA y las etapas posteriores cargando código que reproduce la cadena de ejecución de Tycoon 2FA.
«Esta superposición representa un cambio significativo, debilitando las reglas específicas de los kits, complicando la atribución y dando a los atacantes más espacio para eludir la detección temprana», dijo la compañía.
«En conjunto, esto proporciona evidencia clara de que una sola campaña de phishing, y lo que es más interesante, una sola muestra, contiene rastros de Salty2FA y Tycoon. Tycoon sirve como carga útil alternativa después de que la infraestructura de Salty falla por razones que aún se desconocen».
Source link
