کیت‌های فیشینگ پیشرفته با استفاده از هوش مصنوعی و تکنیک‌های دور زدن MFA، سرقت انبوه حساب‌های کاربری را ممکن کرده‌اند!

محققان امنیت سایبری از شناسایی

کیت‌های فیشینگ پیشرفته جدید با نام‌های BlackForce، GhostFrame، InboxPrime AI و Spiderman خبر داده‌اند که با هدف سرقت گسترده اطلاعات کاربری طراحی شده‌اند و توانایی دور زدن احراز هویت چندمرحله‌ای (MFA) را دارند.

این کیت‌ها نشان‌دهنده مرحله جدیدی از صنعتی‌سازی حملات فیشینگ هستند؛ جایی که هوش مصنوعی، تکنیک‌های ضدتحلیل و شبیه‌سازی دقیق سرویس‌های معتبر، نقش کلیدی در موفقیت حملات ایفا می‌کنند.

BlackForce؛ سرقت رمز عبور و دور زدن MFA با Man-in-the-Browser

کیت فیشینگ BlackForce که نخستین‌بار در آگوست ۲۰۲۵ شناسایی شد، برای سرقت نام کاربری و رمز عبور و اجرای حملات Man-in-the-Browser (MitB) طراحی شده است. این کیت می‌تواند رمزهای یک‌بارمصرف (OTP) را رهگیری کرده و احراز هویت چندمرحله‌ای را دور بزند.

این ابزار با قیمت ۲۰۰ تا ۳۰۰ یورو در فروم‌های تلگرامی فروخته می‌شود و تاکنون برای جعل هویت بیش از ۱۱ برند مطرح از جمله Disney، Netflix، DHL و UPS مورد استفاده قرار گرفته است.

BlackForce از تکنیک‌های پیشرفته ضدشناسایی استفاده می‌کند؛ از جمله:

• بلاک‌لیست سرویس‌های امنیتی و اسکنرها

• استفاده از فایل‌های JavaScript با هش‌های متغیر (Cache Busting)

• ارسال آنی اطلاعات سرقت‌شده به بات تلگرام و پنل C2

پس از وارد شدن اطلاعات کاربری، مهاجم هنگام ورود به سرویس واقعی، قربانی را با یک صفحه جعلی MFA مواجه می‌کند و کد OTP را نیز سرقت می‌کند. در پایان، کاربر به سایت اصلی هدایت می‌شود تا هیچ نشانه‌ای از نفوذ باقی نماند.

👻 GhostFrame؛ بیش از یک میلیون حمله فیشینگ مخفیانه

کیت GhostFrame که از سپتامبر ۲۰۲۵ فعال شده، بر پایه یک فایل HTML ساده ساخته شده که رفتار مخرب خود را در یک iframe پنهان می‌کند. این iframe قربانی را به صفحات جعلی ورود Microsoft 365 یا Google هدایت می‌کند.

ویژگی‌های کلیدی GhostFrame:

• تغییر پویا محتوای فیشینگ بدون تغییر صفحه اصلی

• تولید زیردامنه تصادفی در هر بازدید

• تکنیک‌های ضد دیباگ و ضد تحلیل

• جعل عنوان صفحه، favicon و ریدایرکت مرورگر

ایمیل‌های اولیه معمولاً با موضوع قرارداد، فاکتور یا ریست رمز عبور ارسال می‌شوند و تشخیص آن‌ها برای ابزارهای امنیتی بسیار دشوار است.

🤖 InboxPrime AI؛ اتوماسیون فیشینگ با هوش مصنوعی

کیت InboxPrime AI یک پلتفرم فیشینگ مبتنی بر هوش مصنوعی است که تحت مدل Malware-as-a-Service با قیمت ۱۰۰۰ دلار و لایسنس دائمی فروخته می‌شود.

این ابزار:

• ایمیل‌های فیشینگ را با تقلید رفتار انسانی تولید می‌کند

• از رابط وب Gmail برای دور زدن فیلترها استفاده می‌کند

• ایمیل‌ها را بر اساس زبان، صنعت، لحن و طول محتوا تولید می‌کند

• از Spintax برای جلوگیری از شناسایی مبتنی بر امضا بهره می‌برد

قابلیت تشخیص اسپم لحظه‌ای و جعل هویت فرستنده، InboxPrime AI را به یکی از خطرناک‌ترین ابزارهای فیشینگ سال ۲۰۲۵ تبدیل کرده است.

🕷 Spiderman؛ شبیه‌سازی بی‌نقص بانک‌های اروپایی

کیت Spiderman برای هدف قرار دادن کاربران بانک‌ها و سرویس‌های مالی اروپایی طراحی شده و صفحات ورود ده‌ها بانک و حتی برخی پرتال‌های دولتی را با دقت بالا شبیه‌سازی می‌کند.

این کیت قادر است:

• OTP، PhotoTAN و اطلاعات کارت بانکی را رهگیری کند

• Seed کیف پول‌های رمزارزی را سرقت کند

• کاربران را بر اساس ISP، موقعیت جغرافیایی و دستگاه فیلتر کند

کشورهای آلمان، اتریش، سوئیس و بلژیک اهداف اصلی این حملات هستند.

🔁 هم‌گرایی کیت‌های فیشینگ؛ ترکیب Salty و Tycoon

در ادامه، محققان ANY.RUN از شناسایی یک حمله ترکیبی Salty–Tycoon 2FA خبر داده‌اند که قوانین شناسایی مبتنی بر کیت‌های مستقل را بی‌اثر می‌کند.

این هم‌پوشانی نشان می‌دهد مهاجمان به سمت کیت‌های ماژولار، انعطاف‌پذیر و چندلایه حرکت کرده‌اند؛ تغییری که شناسایی، انتساب و دفاع را برای تیم‌های امنیتی به‌مراتب دشوارتر می‌کند.

منابع: