Исследователи кибербезопасности зафиксировали резкий скачок в развитии фишинговых возможностей, вызванный появлением четырех новых продвинутых наборов: BlackForce, GhostFrame, InboxPrime AI и Spiderman. Эти инструменты активно используют искусственный интеллект, автоматизацию и технологии обхода многофакторной аутентификации (MFA) для массового хищения учетных данных. Параллельно с этим была обнаружена новая гибридная угроза, объединяющая инфраструктуру уже известных наборов Salty и Tycoon, что свидетельствует о значительном усложнении ландшафта киберугроз в конце 2025 года.
Набор BlackForce, обнаруженный в августе 2025 года исследователями Глэдис Бриндой Р. и Ашвати Саси из Zscaler ThreatLabz, специализируется на краже учетных данных и атаках типа «Человек в браузере» (Man-in-the-Browser, MitB). Данный инструмент продается на форумах в Telegram по цене от 200 евро (234 доллара) до 300 евро (351 доллар). Разработка ведется активно: версия 3 использовалась до начала августа, после чего были выпущены версии 4 и 5. BlackForce нацелен на имитацию более 11 брендов, включая Disney, Netflix, DHL и UPS, и использует сложные методы уклонения, такие как фильтрация сканеров безопасности и веб-краулеров через специальные блок-листы.
Техническая реализация BlackForce включает использование JavaScript-файлов с хешированными именами (например, «index-[hash].js») для принудительной загрузки браузером новейших вредоносных скриптов, обходя кэширование. Эксфильтрация данных происходит в режиме реального времени через HTTP-клиент Axios в Telegram-бота и панель управления (C2). Рабочий процесс атаки начинается с клика жертвы по ссылке, после чего серверная проверка отсеивает ботов. Когда пользователь вводит данные на поддельной странице, злоумышленник автоматически авторизуется на настоящем сайте, вызывая запрос MFA. Жертве демонстрируется фальшивое окно ввода кода, перехваченный OTP используется атакующим, а пользователя перенаправляют на легитимную домашнюю страницу для сокрытия следов.
Другой масштабный инструмент, GhostFrame, был обнаружен в сентябре 2025 года исследователями Кэлли Бэрон и Петром Войтылой из компании Abnormal. Этот набор уже стал основой для более чем миллиона скрытых фишинговых атак. Он распространяется через Telegram-канал с 1300 участниками по модели «Вредоносное ПО как услуга» (MaaS). Стоимость вечной лицензии с полным доступом к исходному коду составляет 1000 долларов. GhostFrame имитирует реальное поведение человека при отправке писем и использует веб-интерфейс Gmail для обхода фильтров, рассылая приманки в виде деловых контрактов, счетов-фактур и запросов на сброс пароля.
Технические особенности GhostFrame включают защиту от анализа, блокирующую использование инструментов разработчика в браузере, и обфускацию, при которой для каждого посещения генерируется случайный поддомен. Инструмент способен подменять заголовки родительских страниц, изменять фавиконы и перенаправлять окна верхнего уровня. Те же исследователи из Abnormal, Кэлли Бэрон и Петр Войтыла, описали работу набора InboxPrime AI, который реализует концепцию «индустриализации фишинга». Этот инструмент предлагает интерфейс, похожий на профессиональное ПО для email-маркетинга, и устраняет необходимость в навыках копирайтинга благодаря встроенному ИИ-генератору.
InboxPrime AI создает темы и тексты писем, имитирующие легальную деловую переписку, на основе заданных параметров тональности и отрасли. Система поддерживает Spintax для создания вариаций шаблонов с целью обхода сигнатурных фильтров и включает модуль диагностики спама для анализа и исправления триггеров в реальном времени. Также предусмотрена рандомизация личности отправителя с настройкой отображаемых имен для сессий Gmail. Это позволяет злоумышленникам проводить масштабируемые тематические атаки без глубоких технических знаний.
В отличие от большинства инструментов, распространяемых через Telegram, фишинговый набор Spiderman продается через группу в мессенджере Signal, насчитывающую около 750 участников. Исследователь Дэниел Келли из Varonis отмечает, что основной целью Spiderman являются учреждения в Германии, Австрии, Швейцарии и Бельгии. В список мишеней входят десятки европейских банков и сервисов, таких как Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna и PayPal. Этот полнофункциональный фреймворк копирует страницы входа в банки и правительственные порталы.
Функционал Spiderman позволяет перехватывать учетные данные, сид-фразы криптовалютных кошельков, коды OTP и PhotoTAN, а также вызывать запросы на ввод данных кредитных карт. Для обеспечения скрытности используются белые списки интернет-провайдеров (ISP), геофенсинг и фильтрация устройств. Каждая сессия логируется с уникальными идентификаторами для поддержания непрерывности атаки. Подобная географическая специализация и выбор платформы распространения выделяют Spiderman на фоне глобальных угроз.
Помимо новых наборов, в отчете , опубликованном в конце 2025 года, описывается появление гибридной атаки, объединяющей инструменты Salty 2FA и Tycoon 2FA. Это явление совпало с резким падением активности Salty 2FA в конце октября 2025 года. Цепочка выполнения атаки начинается с инфраструктуры Salty, но на более поздних этапах или в случае сбоя загружается код, воспроизводящий цепочку Tycoon 2FA. Такая интеграция усложняет атрибуцию, ослабляет правила обнаружения, ориентированные на конкретные наборы, и обеспечивает избыточность, где Tycoon выступает в роли запасного варианта.
В тексте также упоминаются другие активные фишинговые наборы, действовавшие в течение последнего года, такие как Sneaky 2FA, Whisper 2FA, Cephas и Astaroth (отличный от одноименного банковского трояна для Windows). Совокупность этих данных указывает на то, что использование искусственного интеллекта для генерации контента и гибридных схем доставки вредоносного кода становится стандартом в индустрии киберпреступности.
Изображение носит иллюстративный характер
Набор BlackForce, обнаруженный в августе 2025 года исследователями Глэдис Бриндой Р. и Ашвати Саси из Zscaler ThreatLabz, специализируется на краже учетных данных и атаках типа «Человек в браузере» (Man-in-the-Browser, MitB). Данный инструмент продается на форумах в Telegram по цене от 200 евро (234 доллара) до 300 евро (351 доллар). Разработка ведется активно: версия 3 использовалась до начала августа, после чего были выпущены версии 4 и 5. BlackForce нацелен на имитацию более 11 брендов, включая Disney, Netflix, DHL и UPS, и использует сложные методы уклонения, такие как фильтрация сканеров безопасности и веб-краулеров через специальные блок-листы.
Техническая реализация BlackForce включает использование JavaScript-файлов с хешированными именами (например, «index-[hash].js») для принудительной загрузки браузером новейших вредоносных скриптов, обходя кэширование. Эксфильтрация данных происходит в режиме реального времени через HTTP-клиент Axios в Telegram-бота и панель управления (C2). Рабочий процесс атаки начинается с клика жертвы по ссылке, после чего серверная проверка отсеивает ботов. Когда пользователь вводит данные на поддельной странице, злоумышленник автоматически авторизуется на настоящем сайте, вызывая запрос MFA. Жертве демонстрируется фальшивое окно ввода кода, перехваченный OTP используется атакующим, а пользователя перенаправляют на легитимную домашнюю страницу для сокрытия следов.
Другой масштабный инструмент, GhostFrame, был обнаружен в сентябре 2025 года исследователями Кэлли Бэрон и Петром Войтылой из компании Abnormal. Этот набор уже стал основой для более чем миллиона скрытых фишинговых атак. Он распространяется через Telegram-канал с 1300 участниками по модели «Вредоносное ПО как услуга» (MaaS). Стоимость вечной лицензии с полным доступом к исходному коду составляет 1000 долларов. GhostFrame имитирует реальное поведение человека при отправке писем и использует веб-интерфейс Gmail для обхода фильтров, рассылая приманки в виде деловых контрактов, счетов-фактур и запросов на сброс пароля.
Технические особенности GhostFrame включают защиту от анализа, блокирующую использование инструментов разработчика в браузере, и обфускацию, при которой для каждого посещения генерируется случайный поддомен. Инструмент способен подменять заголовки родительских страниц, изменять фавиконы и перенаправлять окна верхнего уровня. Те же исследователи из Abnormal, Кэлли Бэрон и Петр Войтыла, описали работу набора InboxPrime AI, который реализует концепцию «индустриализации фишинга». Этот инструмент предлагает интерфейс, похожий на профессиональное ПО для email-маркетинга, и устраняет необходимость в навыках копирайтинга благодаря встроенному ИИ-генератору.
InboxPrime AI создает темы и тексты писем, имитирующие легальную деловую переписку, на основе заданных параметров тональности и отрасли. Система поддерживает Spintax для создания вариаций шаблонов с целью обхода сигнатурных фильтров и включает модуль диагностики спама для анализа и исправления триггеров в реальном времени. Также предусмотрена рандомизация личности отправителя с настройкой отображаемых имен для сессий Gmail. Это позволяет злоумышленникам проводить масштабируемые тематические атаки без глубоких технических знаний.
В отличие от большинства инструментов, распространяемых через Telegram, фишинговый набор Spiderman продается через группу в мессенджере Signal, насчитывающую около 750 участников. Исследователь Дэниел Келли из Varonis отмечает, что основной целью Spiderman являются учреждения в Германии, Австрии, Швейцарии и Бельгии. В список мишеней входят десятки европейских банков и сервисов, таких как Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna и PayPal. Этот полнофункциональный фреймворк копирует страницы входа в банки и правительственные порталы.
Функционал Spiderman позволяет перехватывать учетные данные, сид-фразы криптовалютных кошельков, коды OTP и PhotoTAN, а также вызывать запросы на ввод данных кредитных карт. Для обеспечения скрытности используются белые списки интернет-провайдеров (ISP), геофенсинг и фильтрация устройств. Каждая сессия логируется с уникальными идентификаторами для поддержания непрерывности атаки. Подобная географическая специализация и выбор платформы распространения выделяют Spiderman на фоне глобальных угроз.
Помимо новых наборов, в отчете , опубликованном в конце 2025 года, описывается появление гибридной атаки, объединяющей инструменты Salty 2FA и Tycoon 2FA. Это явление совпало с резким падением активности Salty 2FA в конце октября 2025 года. Цепочка выполнения атаки начинается с инфраструктуры Salty, но на более поздних этапах или в случае сбоя загружается код, воспроизводящий цепочку Tycoon 2FA. Такая интеграция усложняет атрибуцию, ослабляет правила обнаружения, ориентированные на конкретные наборы, и обеспечивает избыточность, где Tycoon выступает в роли запасного варианта.
В тексте также упоминаются другие активные фишинговые наборы, действовавшие в течение последнего года, такие как Sneaky 2FA, Whisper 2FA, Cephas и Astaroth (отличный от одноименного банковского трояна для Windows). Совокупность этих данных указывает на то, что использование искусственного интеллекта для генерации контента и гибридных схем доставки вредоносного кода становится стандартом в индустрии киберпреступности.
