Cybersecurity-onderzoekers hebben vier nieuwe phishing-kits gedocumenteerd BlackForce, GhostFrame, InboxPrime AI en Spiderman die diefstal van inloggegevens op grote schaal kunnen faciliteren.
BlackForce, voor het eerst ontdekt in augustus 2025, is ontworpen om inloggegevens te stelen en Man-in-the-Browser (MitB)-aanvallen uit te voeren om eenmalige wachtwoorden (OTP’s) te onderscheppen en multi-factor authenticatie (MFA) te omzeilen. De kit wordt op Telegram-forums verkocht voor tussen de € 200 ($ 234) en € 300 ($ 351).
De kit is volgens Zscaler ThreatLabz-onderzoekers Gladis Brinda R en Ashwathi Sasi gebruikt om meer dan elf merken na te bootsen, waaronder Disney, Netflix, DHL en UPS. Er wordt gezegd dat het in actieve ontwikkeling is.
“BlackForce beschikt over verschillende ontwijkingstechnieken met een blokkeerlijst die beveiligingsleveranciers, webcrawlers en scanners uitfiltert”, aldus het bedrijf. “BlackForce wordt nog steeds actief ontwikkeld. Versie 3 werd tot begin augustus veel gebruikt, terwijl versies 4 en 5 in de daaropvolgende maanden werden uitgebracht.”
Phishingpagina’s die met de kit zijn verbonden, blijken JavaScript-bestanden te gebruiken met zogenaamde “cache busting”-hashes in hun naam (bijvoorbeeld “index-(hash).js”), waardoor de webbrowser van het slachtoffer wordt gedwongen de nieuwste versie van het kwaadaardige script te downloaden in plaats van een in de cache opgeslagen versie te gebruiken.
Bij een typische aanval met behulp van de kit worden slachtoffers die op een link klikken, doorgestuurd naar een kwaadaardige phishing-pagina, waarna een controle op de server crawlers en bots uitfiltert, voordat ze een pagina te zien krijgen die is ontworpen om een legitieme website na te bootsen. Zodra de inloggegevens op de pagina zijn ingevoerd, worden de details vastgelegd en in realtime naar een Telegram-bot en een command-and-control (C2)-paneel verzonden met behulp van een HTTP-client genaamd Axios.
Wanneer de aanvaller probeert in te loggen met de gestolen inloggegevens op de legitieme website, wordt een MFA-prompt geactiveerd. In dit stadium worden de MitB-technieken gebruikt om via het C2-paneel een valse MFA-authenticatiepagina weer te geven in de browser van het slachtoffer. Als het slachtoffer de MFA-code op de neppagina invoert, wordt deze door de bedreigingsacteur verzameld en gebruikt om ongeautoriseerde toegang tot zijn account te krijgen.
“Zodra de aanval is voltooid, wordt het slachtoffer doorgestuurd naar de startpagina van de legitieme website, waardoor het bewijs van de aanval wordt verborgen en ervoor wordt gezorgd dat het slachtoffer zich niet bewust is van de aanval”, aldus Zscaler.
GhostFrame stimuleert meer dan 1 miljoen stealth-phishing-aanvallen
Een andere opkomende phishing-kit die sinds de ontdekking in september 2025 aan populariteit wint, is GhostFrame. De kern van de architectuur van de kit is een eenvoudig HTML-bestand dat onschadelijk lijkt, terwijl het kwaadaardige gedrag verborgen blijft binnen een ingebed iframe, dat slachtoffers naar een phishing-inlogpagina leidt om Microsoft 365- of Google-accountgegevens te stelen.
“Het iframe-ontwerp stelt aanvallers ook in staat om eenvoudig de phishing-inhoud uit te schakelen, nieuwe trucs uit te proberen of zich op specifieke regio’s te richten, allemaal zonder de hoofdwebpagina te wijzigen die de kit distribueert”, aldus Barracuda-beveiligingsonderzoeker Sreyas Shetty. “Verder kan de kit, door eenvoudigweg bij te werken waar het iframe naar verwijst, voorkomen dat deze wordt gedetecteerd door beveiligingstools die alleen de buitenste pagina controleren.”
Aanvallen met behulp van de GhostFrame-kit beginnen met typische phishing-e-mails die beweren te gaan over zakelijke contracten, facturen en verzoeken om wachtwoorden opnieuw in te stellen, maar zijn ontworpen om ontvangers naar de neppagina te leiden. De kit maakt gebruik van anti-analyse en anti-debugging om pogingen om de site te inspecteren met behulp van browserontwikkelaarstools te voorkomen, en genereert elke keer dat iemand de site bezoekt een willekeurig subdomein.
De zichtbare buitenste pagina’s worden geleverd met een loader-script dat verantwoordelijk is voor het instellen van het iframe en het reageren op eventuele berichten van het HTML-element. Dit kan het wijzigen van de titel van de bovenliggende pagina omvatten om vertrouwde services na te bootsen, het favicon van de site aan te passen of het browservenster op het hoogste niveau om te leiden naar een ander domein.
In de laatste fase wordt het slachtoffer naar een secundaire pagina gestuurd met de daadwerkelijke phishing-componenten via het iframe dat wordt geleverd via het voortdurend veranderende subdomein, waardoor het moeilijker wordt om de dreiging te blokkeren. De kit bevat ook een terugvalmechanisme in de vorm van een back-up-iframe dat onderaan de pagina wordt toegevoegd voor het geval de JavaScript-lader faalt of wordt geblokkeerd.
InboxPrime AI Phishing Kit automatiseert e-mailaanvallen
Als BlackForce hetzelfde draaiboek volgt als andere traditionele phishing-kits, gaat InboxPrime AI een stap verder door gebruik te maken van kunstmatige intelligentie (AI) om massamailcampagnes te automatiseren. Het wordt geadverteerd op een Telegram-kanaal met 1.300 leden onder een Malware-as-a-Service (MaaS)-abonnementsmodel voor $ 1.000, waardoor kopers een eeuwigdurende licentie en volledige toegang tot de broncode krijgen.
“Het is ontworpen om echt menselijk e-mailgedrag na te bootsen en maakt zelfs gebruik van de webinterface van Gmail om traditionele filtermechanismen te omzeilen”, aldus Abnormal-onderzoekers Callie Baron en Piotr Wojtyla.
“InboxPrime AI combineert kunstmatige intelligentie met operationele ontwijkingstechnieken en belooft cybercriminelen een vrijwel perfecte afleverbaarheid, geautomatiseerde campagnegeneratie en een gepolijste, professionele interface die legitieme e-mailmarketingsoftware weerspiegelt.”
Het platform maakt gebruik van een gebruiksvriendelijke interface waarmee klanten accounts, proxy’s, sjablonen en campagnes kunnen beheren, in navolging van commerciële e-mailautomatiseringstools. Een van de kernfuncties is een ingebouwde, door AI aangedreven e-mailgenerator, die volledige phishing-e-mails kan produceren, inclusief de onderwerpregels, op een manier die legitieme zakelijke communicatie nabootst.
Door dit te doen verlagen deze diensten de toegangsdrempel voor cybercriminaliteit verder, waardoor het handmatige werk dat gepaard gaat met het opstellen van dergelijke e-mails effectief wordt geëlimineerd. In plaats daarvan kunnen aanvallers parameters configureren, zoals taal, onderwerp of branche, e-maillengte en gewenste toon, die de toolkit gebruikt als invoer om overtuigende lokken te genereren die passen bij het gekozen thema.
Bovendien stelt het dashboard gebruikers in staat de geproduceerde e-mail op te slaan als een herbruikbare sjabloon, compleet met ondersteuning voor spintax om variaties op de e-mailberichten te maken door bepaalde sjabloonvariabelen te vervangen. Dit zorgt ervoor dat geen twee phishing-e-mails er identiek uitzien en helpt hen om op handtekeningen gebaseerde filters te omzeilen die op zoek zijn naar vergelijkbare inhoudspatronen.
Enkele van de andere ondersteunde functies in InboxPrime AI worden hieronder vermeld:
- Een realtime spamdiagnostische module die een gegenereerde e-mail kan analyseren op veelvoorkomende spamfiltertriggers en nauwkeurige correcties kan voorstellen
- Randomisatie en spoofing van afzenderidentiteiten, waardoor aanvallers de weergavenamen voor elke Gmail-sessie kunnen aanpassen
“Deze industrialisatie van phishing heeft directe gevolgen voor verdedigers: meer aanvallers kunnen nu meer campagnes met meer volume lanceren, zonder enige overeenkomstige toename van de bandbreedte of middelen van de verdedigers”, aldus Abnormal. “Dit versnelt niet alleen de lanceringstijd van campagnes, maar zorgt ook voor een consistente berichtkwaliteit, maakt schaalbare, thematische targeting in verschillende sectoren mogelijk en stelt aanvallers in staat professioneel ogende phishing-operaties uit te voeren zonder expertise op het gebied van copywriting.”
Spiderman maakt pixel-perfecte replica’s van Europese banken
De derde phishingkit die onder de cyberveiligheidsradar is gekomen is Spiderman, waarmee aanvallers zich kunnen richten op klanten van tientallen Europese banken en online financiële dienstverleners, zoals Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna en PayPal.
“Spiderman is een full-stack phishing-framework dat tientallen inlogpagina’s van Europese banken en zelfs enkele overheidsportals repliceert”, zegt Varonis-onderzoeker Daniel Kelley. “De georganiseerde interface biedt cybercriminelen een alles-in-één platform om phishing-campagnes te lanceren, inloggegevens vast te leggen en gestolen sessiegegevens in realtime te beheren.”
Het opvallende aan de modulaire kit is dat de verkoper de oplossing op de markt brengt in een Signal-messengergroep met ongeveer 750 leden, wat een afwijking van Telegram markeert. Duitsland, Oostenrijk, Zwitserland en België zijn de belangrijkste doelwitten van de phishing-service.
Net als in het geval van BlackForce maakt Spiderman gebruik van verschillende technieken, zoals ISP-toelatingslijsten, geofencing en apparaatfiltering om er zeker van te zijn dat alleen de beoogde doelen toegang hebben tot de phishing-pagina’s. De toolkit is ook uitgerust om de zaadzinnen van cryptocurrency-portemonnees vast te leggen, OTP- en PhotoTAN-codes te onderscheppen en prompts te activeren om creditcardgegevens te verzamelen.
“Deze flexibele, uit meerdere stappen bestaande aanpak is vooral effectief bij Europese bankfraude, waarbij inloggegevens alleen vaak niet voldoende zijn om transacties te autoriseren”, legt Kelley uit. “Na het vastleggen van de inloggegevens registreert Spiderman elke sessie met een unieke identificatie, zodat de aanvaller de continuïteit gedurende de hele phishing-workflow kan behouden.”
Hybride Salty-Tycoon 2FA-aanvallen gespot
BlackForce, GhostFrame, InboxPrime AI en Spiderman zijn de nieuwste toevoegingen aan een lange lijst van phishing-kits zoals Tycoon 2FA, Salty 2FA, Sneaky 2FA, Whisper 2FA, Cephas en Astaroth (niet te verwarren met een Windows banking-trojan met dezelfde naam) die het afgelopen jaar zijn verschenen.
In een rapport dat eerder deze maand werd gepubliceerd, zei ANY.RUN dat het een nieuwe Salty-Tycoon-hybride had waargenomen die de detectieregels die op een van beide zijn afgestemd, al omzeilt. De nieuwe aanvalsgolf valt samen met een scherpe daling van de Salty 2FA-activiteit eind oktober 2025, waarbij de vroege fasen overeenkomen met Salty2FA, terwijl latere fasen code laden die de uitvoeringsketen van Tycoon 2FA reproduceert.
“Deze overlap markeert een betekenisvolle verschuiving; een die kit-specifieke regels verzwakt, de attributie compliceert en bedreigingsactoren meer ruimte geeft om voorbij vroege detectie te glippen”, aldus het bedrijf.
“Alles bij elkaar levert dit duidelijk bewijs op dat een enkele phishing-campagne, en, nog interessanter, een enkele steekproef, sporen bevat van zowel Salty2FA als Tycoon, waarbij Tycoon als reservelading diende zodra de Salty-infrastructuur stopte met werken om redenen die nog onduidelijk zijn.”
