Logo TecMundo
Segurança

Novos 'kits de golpe' acumulam mais de 1 milhão de vítimas, aponta relatório

Ferramentas vendidas em Telegram e Signal permitem ataques em massa contra Netflix, bancos europeus e serviços do Google sem exigir conhecimento técnico

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule13/12/2025, às 14:00

updateAtualizado em 13/12/2025, às 14:52

Pesquisadores da Zscaler ThreatLabz reportaram que quatro kits de phishing, somados, já acumularam mais de um milhão de ataques furtivos em diferentes países. Funcionando como ferramentas profissionais para o cibercrime, os conjuntos impressionam pela capacidade de atingir usuários comuns em larga escala.

Batizados de BlackForce, GhostFrame, InboxPrime AI e Spiderman, eles são voltados ao roubo de credenciais digitais. O Spiderman, em particular, foi reportado pelo TecMundo no início desta semana.
 

smart_display

Nossos vídeos em destaque

BlackForce já afetou Netflix e até Disney

O BlackForce, detectado inicialmente em agosto deste ano, é usado para roubar credenciais e realizar ataques Man-in-the-Browser (MitB). Esse é um tipo de invasão que compromete o navegador web da vítima para interceptar e manipular dados entre os usuários e sites legítimos. O objetivo desse malware é capturar senhas de uso único e contornar autenticação multifator. O kit é veiculado em fóruns do Telegram por valores entre R$ 1.268 e R$ 1.903.

Os pesquisadores afirmaram que o kit já se passou por mais de 11 marcas, incluindo Disney, Netflix, DHL e UPS. Segundo eles, o kit continua em desenvolvimento ativo, com a versão 3 sendo usada até o início de agosto, e as versões 4 e 5 nos meses seguintes.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

Páginas ligadas ao kit BlackForce usam arquivos JavaScript nomeados com hashes de “cache busting”, o que faz com que o navegador da vítima baixe a versão mais recente do script, e não use uma versão em cache.

O golpe consiste em redirecionar a vítima para uma página de phishing, por meio de cliques em links, seguido de uma verificação do servidor, que filtra rastreadores e bots. Depois disso, o servidor abre uma página projetada para imitar um site verdadeiro. Assim que ele consegue as senhas inseridas na página, elas são enviadas para um bot do Telegram e um painel de comando e controle (C2) em tempo real, usando um cliente HTTP conhecido como Axios.

O ataque MitB vem depois disso, porque quando o criminoso tenta fazer login com as credenciais roubadas, um prompt de MFA é acionado. A partir desse ponto, são exibidas falsas páginas de autenticação no navegador da vítima, por meio do painel C2. Quando a vítima insere o código de verificação, ele é coletado e usado pelo cibercriminoso para garantir acesso à conta.

GhostFrame rouba dados do Google e M356 e tem plano B

O GhostFrame, descoberto em setembro de 2025, é baseado em um arquivo HTML simples e aparentemente inofensivo. O real perigo de seu comportamento está em um iframe incorporado, que direciona as vítimas para uma página de login de phishing para roubar dados de contas do Google e Microsoft 365.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

O golpe começa com e-mails característicos de phishing, que usam urgência sobre contratos comerciais, faturas em aberto e redefinição de senhas – mas que, na verdade, levam as vítimas para páginas falsas.

O kit usa técnicas anti-análise e anti-depuração para prevenir que ferramentas de desenvolvedor do navegador identifiquem a atividade, e ele também gera um subdomínio aleatório cada vez que uma vítima acessa o site.

Alemanha, Áustria, Suíça e Bélgica são os principais alvos dessa campanha – que está sendo vendida em um grupo do Signal. As páginas externas visíveis vêm com um script de carregamento que é responsável por configurar o iframe e responder a quaisquer mensagens do elemento HTML. 

Isso pode incluir alterar o título da página para se passar por serviços confiáveis, modificar o favicon do site – que ajuda usuários a identificarem de forma mais fácil sites na barra de favoritos, por exemplo – ou redirecionar a janela do navegador de nível superior para outro domínio.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

No estágio final, a vítima é enviada para uma página secundária contendo os componentes reais de phishing através do iframe entregue via subdomínio em constante mudança, o que torna mais difícil bloquear a ameaça. O kit também incorpora um mecanismo de fallback na forma de um iframe de backup anexado na parte inferior da página, caso o JavaScript do carregador falhe ou seja bloqueado.

InboxPrime AI é o primo rico do Black Force

O InboxPrime AI é a versão mais avançada do BlackForce no quesito aproveitamento de IA para automatização de campanhas de envio em massa. Vendido no Telegram – em um grupo com mais de 1.300 membros, por mais de R$ 5 mil – o InboxPrime AI é um modelo de assinatura de malware-as-a-service com licença perpétua.

Especialistas em cibersegurança da Abnormal afirmam que ele foi programado para imitar o comportamento de envios de e-mails humanos e, para isso, usa a interface web do Gmail para escapar de mecanismos de filtragem. Ao combinar técnicas de evasão operacional com Inteligência Artificial, ele gera um produto à prova de balas, capaz de gerenciar contas, proxies, modelos e campanhas. 

Além disso, um de seus principais recursos é um gerador de e-mail, alimentado por IA, que gera a mensagem de phishing inteira sozinho. Da linha de assunto à assinatura. Isso permite que qualquer pessoa, mesmo sem histórico em crimes, ou até mesmo tecnologia, aplique golpes mais sofisticados. Isso porque, quanto melhor elaborados os e-mails, mais os criminosos podem focar em configurações de parâmetros.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

As mensagens ficam cada vez mais profissionais e convincentes ao mesmo passo que o público fica mais segmentado e vulnerável.

Outras habilidades do InboxPrime AI incluem a opção de salvar o e-mail perfeito como um modelo reutilizável – com suporte para spintax, uma configuração que cria variações da mensagem substituindo certas palavras para evitar que a mensagem vá para spam. 

O kit ainda tem um módulo de diagnóstico de spam em tempo real, que sugere correções, e é capaz de randomizar e falsificar a identidade do remetente.

Kit do “Homem-Aranha” mira usuários de bancos europeus

O quarto kit encontrado é o Spiderman, que ajuda os criminosos a acessarem contas de bancos e serviços financeiros de europeus. O kit tem uma estrutura profissional e um escopo que permite acesso tudo-em-um para os cibercriminosos, inclusive possibilidades de lançar campanhas de phishing, roubar credenciais e gerenciar em tempo real os dados roubados.

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas

Seu painel de controle exibe sessões das vítimas em tempo real, o que dá chance para os  criminosos acompanharem o status de cada alvo, bancos, entradas do usuário e detalhes do dispositivo. Além de dar acesso a certas ferramentas com o objetivo de otimizar os ataques como:

  • monitoramento de sessão ao vivo;
  • exportação de credenciais com um clique;
  • coleta completa de cartão de crédito e identidade;
  • captura do PhotoTAN, um verificador de identidade que substitui listas de senhas ou SMS, usando uma espécie de QR Code colorido que é escaneado pelo aplicativo do banco no seu smartphone para gerar um código de segurança único.

Para saber mais sobre a evolução desses kits, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.

Perguntas Frequentes

O que são os "kits de golpe" mencionados no relatório?
São ferramentas de phishing vendidas em plataformas como Telegram e Signal, projetadas para facilitar ataques cibernéticos em massa. Elas permitem o roubo de credenciais digitais e são voltadas até mesmo para pessoas sem conhecimento técnico, funcionando como verdadeiros produtos profissionais do cibercrime.
Como funciona o kit BlackForce e quais marcas ele imita?
O BlackForce realiza ataques do tipo Man-in-the-Browser (MitB), comprometendo o navegador da vítima para interceptar dados. Ele simula páginas de marcas conhecidas como Netflix, Disney, DHL e UPS, redirecionando usuários para sites falsos e coletando senhas e códigos de autenticação multifator. As informações são enviadas para um bot no Telegram e um painel de controle em tempo real.
O que torna o GhostFrame uma ameaça difícil de detectar?
O GhostFrame utiliza um iframe oculto em um arquivo HTML aparentemente inofensivo para redirecionar vítimas a páginas falsas do Google e Microsoft 365. Ele emprega técnicas anti-análise, gera subdomínios aleatórios e pode alterar elementos visuais da página, como título e favicon, dificultando a detecção por ferramentas de segurança e usuários.
Qual é o diferencial do InboxPrime AI em relação aos outros kits?
O InboxPrime AI se destaca por usar Inteligência Artificial para automatizar campanhas de phishing por e-mail. Ele simula o comportamento humano ao enviar mensagens pela interface do Gmail, evitando filtros de spam. Também gera e-mails completos com IA, permite salvar modelos com variações (spintax) e inclui diagnóstico de spam em tempo real, tornando os golpes mais sofisticados e acessíveis.
Como o kit Spiderman atua contra usuários de bancos europeus?
O Spiderman oferece uma plataforma completa para cibercriminosos acessarem contas bancárias. Ele permite monitoramento em tempo real das sessões das vítimas, coleta de dados como cartões de crédito e identidade, e captura de códigos PhotoTAN — um método de autenticação usado por bancos europeus baseado em QR Codes coloridos.
Por que esses kits são considerados perigosos mesmo para quem não tem conhecimento técnico?
Esses kits foram desenvolvidos com interfaces intuitivas e automações que permitem que qualquer pessoa, mesmo sem experiência em tecnologia ou crimes cibernéticos, consiga realizar ataques sofisticados. Isso amplia o alcance das ameaças e aumenta o número de vítimas em potencial.
Quais países estão sendo mais afetados por esses ataques?
Segundo o relatório, países como Alemanha, Áustria, Suíça e Bélgica são os principais alvos das campanhas associadas ao kit GhostFrame. No entanto, os ataques são globais e já afetaram usuários de serviços como Netflix e Disney em diferentes regiões.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 3 dias
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA