新型钓鱼套件自动化绕过MFA、AI邮件诱饵及大规模银行凭证窃取
阅读时间:3分钟
日益增长的模块化钓鱼套件生态系统
BlackForce、GhostFrame、InboxPrime AI 和 Spiderman 加入了诸如 Tycoon 2FA、Salty 2FA、Sneaky 2FA、Cephas、Whisper 2FA 等快速扩张的网络钓鱼框架生态系统。
ANY.RUN 的研究人员最近观察到一种混合的 Salty-Tycoon 钓鱼攻击链,当一个套件的基础设施失效时,可以无缝切换到另一个套件。这种框架的混合使检测变得复杂,削弱了针对特定套件的特征码,并赋予了攻击者更强的弹性。
“这种重叠标志着一个有意义的转变,它使攻击归因复杂化,并让攻击者得以绕过早期检测,” ANY.RUN 指出。
BlackForce:通过“中间人浏览器”技术绕过MFA
BlackForce 于 2025 年 8 月首次被观测到,是一款旨在窃取凭证并利用“中间人浏览器”技术绕过多因素身份验证的钓鱼套件。该套件在 Telegram 上以 200-300 欧元的价格出售,并且得到积极维护和频繁更新。
Zscaler ThreatLabz 的研究人员报告称,BlackForce 已被用于冒充超过 11 个主要品牌,包括迪士尼、Netflix、DHL 和 UPS。
其主要功能包括:
- 通过 Telegram 机器人和基于 Web 的 C2 面板实时捕获凭证。
- 通过 MitB 技术注入虚假的 MFA 提示以获取一次性密码。
- 使用 JavaScript “缓存破坏”文件名(例如
index-[哈希值].js)以规避检测。 - 使用阻止列表过滤掉安全扫描器、爬虫和分析工具。
在捕获凭证和 MFA 验证码后,受害者会被静默重定向到合法网站,从而减少怀疑并隐藏入侵证据。
GhostFrame:大规模隐蔽钓鱼
GhostFrame 于 2025 年 9 月被发现,是一个轻量级但高效的钓鱼套件,目前已与超过一百万次隐蔽钓鱼尝试相关联。
其核心是使用一个看似良性的 HTML 页面,将恶意行为隐藏在嵌入式 iframe 中,该 iframe 会加载实际的钓鱼内容。
显著特点包括:
- 针对 Microsoft 365 和 Google 账户。
- 每次访问时使用随机子域名以规避屏蔽。
- 具备反调试和反分析功能以阻止浏览器检查。
- 动态修改页面标题、网站图标和重定向。
- 如果主加载器失败,则启用备用 iframe。
可见的外部页面与恶意 iframe 之间的分离,使攻击者能够在不更改主分发页面的情况下快速更换钓鱼载荷,从而增加了检测难度。
InboxPrime AI:完全自动化的“钓鱼即服务”
InboxPrime AI 代表了向 AI 驱动的网络钓鱼自动化的转变。该套件通过一个拥有约 1300 名成员的 Telegram 频道进行营销,以 1000 美元的价格出售,采用恶意软件即服务模式,包含永久许可证和完整源代码。
根据 Abnormal Security 的说法,InboxPrime AI 旨在模仿合法的电子邮件营销平台,同时自动化网络钓鱼活动的几乎每个阶段。
核心功能包括:
- 由 AI 生成网络钓鱼电子邮件,包括主题行和语气选择。
- 滥用 Gmail 网页界面以提高进入收件箱的成功率。
- 支持 Spintax 语法以生成独特的邮件变体。
- 伪造发件人身份并随机化显示名称。
- 提供实时垃圾邮件诊断及修复建议。
通过消除手动编写电子邮件的需求,InboxPrime AI 显著降低了攻击门槛,并实现了大规模、专业外观的网络钓鱼操作。
Spiderman:针对欧洲银行的钓鱼攻击
Spiderman 钓鱼套件主要针对欧洲银行和金融平台的客户,包括德意志银行、ING、德国商业银行、CaixaBank、Klarna、PayPal 等。
与许多通过 Telegram 出售的套件不同,Spiderman 通过一个约有 750 名成员的 Signal 群组进行营销,重点针对德国、奥地利、瑞士和比利时。
其能力包括:
- 像素级复制的银行和政府门户网站。
- 拦截 OTP 和 PhotoTAN。
- 窃取信用卡数据。
- 窃取加密货币钱包种子短语。
- ISP 白名单、地理围栏和设备过滤。
每个受害者会话都有一个唯一的标识符进行跟踪,使攻击者能够在欧洲银行环境中常见的多步骤欺诈工作流程中保持连续性。
更大的图景
总而言之,这些套件凸显了网络钓鱼的工业化趋势:
- MFA 绕过已成为标准配置。
- AI 消除了人工制作诱饵的需要。
- 针对特定区域和品牌的攻击变得轻而易举。
- 检测规避功能已成为默认内置。
对于防御者而言,这意味着更高的攻击量、更快的活动周转以及更逼真的钓鱼内容,而所有这些都无需攻击者付出相应增加的努力。