Những bộ công cụ Phishing tân tiến sử dụng AI và chiến thuật vượt mặt MFA để đánh cắp thông tin đăng nhập trên diện rộng

Tháng 12 12, 2025
9:23 chiều

Các nhà nghiên cứu an ninh mạng vừa phát hiện bốn bộ công cụ lừa đảo (phishing kit) mới với tên gọi BlackForce, GhostFrame, InboxPrime AI và Spiderman. Chúng có khả năng đánh cắp thông tin đăng nhập trên diện rộng.

BlackForce, được phát hiện lần đầu vào tháng 8/2025, được thiết kế để đánh cắp thông tin đăng nhập và thực hiện các cuộc tấn công “Người ở giữa trình duyệt” (Man-in-the-Browser – MitB) để thu thập mật khẩu một lần (OTP) và vượt qua xác thực đa yếu tố (MFA). Bộ công cụ này được bán trên các diễn đàn Telegram với giá từ 200 đến 300 euro.

Theo các nhà nghiên cứu của Zscaler ThreatLabz, Gladis Brinda R và Ashwathi Sasi, BlackForce đã được sử dụng để mạo danh hơn 11 thương hiệu, bao gồm Disney, Netflix, DHL và UPS. Nó vẫn đang trong quá trình phát triển.

“BlackForce có nhiều kỹ thuật trốn tránh với danh sách chặn lọc các nhà cung cấp bảo mật, trình thu thập dữ liệu web và trình quét,” công ty cho biết. “BlackForce vẫn đang được phát triển tích cực. Phiên bản 3 được sử dụng rộng rãi cho đến đầu tháng 8, với các phiên bản 4 và 5 được phát hành trong những tháng tiếp theo.”

Các trang lừa đảo liên kết với bộ công cụ này đã được phát hiện sử dụng các tệp JavaScript với cái được mô tả là hàm băm “cache busting” trong tên của chúng (ví dụ: “index-[hash].js”), do đó buộc trình duyệt web của nạn nhân tải xuống phiên bản mới nhất của tập lệnh độc hại thay vì sử dụng phiên bản được lưu trong bộ nhớ cache.

Trong một cuộc tấn công điển hình sử dụng bộ công cụ này, các nạn nhân nhấp vào một liên kết sẽ được chuyển hướng đến một trang lừa đảo độc hại, sau đó một kiểm tra phía máy chủ sẽ lọc ra các trình thu thập dữ liệu và bot, trước khi cung cấp cho họ một trang được thiết kế để bắt chước một trang web hợp pháp. Sau khi thông tin đăng nhập được nhập trên trang, chi tiết sẽ được thu thập và gửi đến một bot Telegram và một bảng điều khiển lệnh và kiểm soát (C2) trong thời gian thực bằng một máy khách HTTP gọi là Axios.

Khi kẻ tấn công cố gắng đăng nhập bằng thông tin đăng nhập bị đánh cắp trên trang web hợp pháp, một lời nhắc MFA sẽ được kích hoạt. Ở giai đoạn này, các kỹ thuật MitB được sử dụng để hiển thị một trang xác thực MFA giả mạo cho trình duyệt của nạn nhân thông qua bảng điều khiển C2. Nếu nạn nhân nhập mã MFA trên trang giả mạo, nó sẽ được thu thập và sử dụng bởi kẻ đe dọa để giành quyền truy cập trái phép vào tài khoản của họ.

“Khi cuộc tấn công hoàn tất, nạn nhân sẽ được chuyển hướng đến trang chủ của trang web hợp pháp, che giấu bằng chứng về hành vi xâm phạm và đảm bảo nạn nhân không biết về cuộc tấn công,” Zscaler cho biết.

GhostFrame Thúc Đẩy Hơn 1 Triệu Cuộc Tấn Công Lừa Đảo Bí Mật

Một bộ công cụ lừa đảo mới nổi khác đã thu hút được sự chú ý kể từ khi được phát hiện vào tháng 9 năm 2025 là GhostFrame. Trọng tâm của kiến trúc bộ công cụ là một tệp HTML đơn giản có vẻ vô hại trong khi che giấu hành vi độc hại của nó bên trong một iframe được nhúng, dẫn nạn nhân đến một trang đăng nhập lừa đảo để đánh cắp thông tin đăng nhập tài khoản Microsoft 365 hoặc Google.

“Thiết kế iframe cũng cho phép kẻ tấn công dễ dàng thay đổi nội dung lừa đảo, thử các thủ thuật mới hoặc nhắm mục tiêu vào các khu vực cụ thể, tất cả mà không cần thay đổi trang web chính phân phối bộ công cụ,” nhà nghiên cứu bảo mật Sreyas Shetty của Barracuda cho biết. “Hơn nữa, bằng cách chỉ cần cập nhật nơi iframe trỏ đến, bộ công cụ có thể tránh bị phát hiện bởi các công cụ bảo mật chỉ kiểm tra trang bên ngoài.”

Các cuộc tấn công sử dụng bộ công cụ GhostFrame bắt đầu bằng các email lừa đảo điển hình tuyên bố là về hợp đồng kinh doanh, hóa đơn và yêu cầu đặt lại mật khẩu, nhưng được thiết kế để đưa người nhận đến trang giả mạo. Bộ công cụ sử dụng chống phân tích và chống gỡ lỗi để ngăn chặn các nỗ lực kiểm tra nó bằng các công cụ dành cho nhà phát triển trình duyệt và tạo ra một miền phụ ngẫu nhiên mỗi khi ai đó truy cập trang web.

Các trang bên ngoài hiển thị đi kèm với một tập lệnh tải chịu trách nhiệm thiết lập iframe và phản hồi bất kỳ thông báo nào từ phần tử HTML. Điều này có thể bao gồm thay đổi tiêu đề trang gốc để mạo danh các dịch vụ đáng tin cậy, sửa đổi favicon của trang web hoặc chuyển hướng cửa sổ trình duyệt cấp cao nhất đến một miền khác.

Trong giai đoạn cuối cùng, nạn nhân được gửi đến một trang thứ cấp chứa các thành phần lừa đảo thực tế thông qua iframe được phân phối qua miền phụ thay đổi liên tục, do đó gây khó khăn hơn cho việc chặn mối đe dọa. Bộ công cụ này cũng kết hợp một cơ chế dự phòng dưới dạng một iframe dự phòng được thêm vào cuối trang trong trường hợp JavaScript tải không thành công hoặc bị chặn.

Bộ Công Cụ Lừa Đảo InboxPrime AI Tự Động Hóa Các Cuộc Tấn Công Email

Nếu BlackForce tuân theo cùng một sách lược như các bộ công cụ lừa đảo truyền thống khác, InboxPrime AI còn tiến thêm một bước nữa bằng cách tận dụng trí tuệ nhân tạo (AI) để tự động hóa các chiến dịch gửi thư hàng loạt. Nó được quảng cáo trên một kênh Telegram mạnh mẽ gồm 1.300 thành viên theo mô hình đăng ký phần mềm độc hại như một dịch vụ (MaaS) với giá 1.000 đô la, cấp cho người mua giấy phép vĩnh viễn và toàn quyền truy cập vào mã nguồn.

“Nó được thiết kế để bắt chước hành vi gửi email thực tế của con người và thậm chí tận dụng giao diện web của Gmail để trốn tránh các cơ chế lọc truyền thống,” các nhà nghiên cứu Callie Baron và Piotr Wojtyla của Abnormal cho biết.

“InboxPrime AI kết hợp trí tuệ nhân tạo với các kỹ thuật trốn tránh hoạt động và hứa hẹn với tội phạm mạng khả năng gửi thư gần như hoàn hảo, tạo chiến dịch tự động và giao diện chuyên nghiệp, bóng bẩy phản ánh phần mềm tiếp thị email hợp pháp.”

Nền tảng này sử dụng giao diện thân thiện với người dùng cho phép khách hàng quản lý tài khoản, proxy, mẫu và chiến dịch, phản ánh các công cụ tự động hóa email thương mại. Một trong những tính năng cốt lõi của nó là trình tạo email được hỗ trợ bởi AI tích hợp, có thể tạo ra toàn bộ email lừa đảo, bao gồm cả dòng tiêu đề, theo cách bắt chước giao tiếp kinh doanh hợp pháp.

Khi thực hiện, các dịch vụ này tiếp tục hạ thấp rào cản gia nhập tội phạm mạng, loại bỏ hiệu quả công việc thủ công đi vào việc soạn thảo các email đó. Thay vào đó, kẻ tấn công có thể định cấu hình các tham số, chẳng hạn như ngôn ngữ, chủ đề hoặc ngành, độ dài email và tông màu mong muốn, mà bộ công cụ sử dụng làm đầu vào để tạo ra những mồi nhử thuyết phục phù hợp với chủ đề đã chọn.

Hơn nữa, bảng điều khiển cho phép người dùng lưu email đã tạo làm mẫu có thể tái sử dụng, hoàn chỉnh với hỗ trợ cho spintax để tạo các biến thể của thư email bằng cách thay thế một số biến mẫu nhất định. Điều này đảm bảo rằng không có hai email lừa đảo nào trông giống hệt nhau và giúp chúng vượt qua các bộ lọc dựa trên chữ ký tìm kiếm các mẫu nội dung tương tự.

Một số tính năng được hỗ trợ khác trong InboxPrime AI được liệt kê dưới đây –

Một mô-đun chẩn đoán thư rác theo thời gian thực có thể phân tích một email được tạo để tìm các trình kích hoạt bộ lọc thư rác phổ biến và đề xuất các chỉnh sửa chính xác
Ngẫu nhiên hóa và giả mạo danh tính người gửi, cho phép kẻ tấn công tùy chỉnh tên hiển thị cho mỗi phiên Gmail

“Việc công nghiệp hóa lừa đảo này có tác động trực tiếp đến những người phòng thủ: nhiều kẻ tấn công hiện có thể khởi động nhiều chiến dịch hơn với số lượng lớn hơn mà không cần tăng thêm băng thông hoặc tài nguyên của người phòng thủ,” Abnormal cho biết. “Điều này không chỉ đẩy nhanh thời gian khởi động chiến dịch mà còn đảm bảo chất lượng tin nhắn nhất quán, cho phép nhắm mục tiêu theo chủ đề, có thể mở rộng trên các ngành và cho phép kẻ tấn công thực hiện các hoạt động lừa đảo trông chuyên nghiệp mà không cần chuyên môn về viết quảng cáo.”

Spiderman Tạo Bản Sao Hoàn Hảo Từng Pixel Của Các Ngân Hàng Châu Âu

Bộ công cụ lừa đảo thứ ba đã nằm trong tầm ngắm của an ninh mạng là Spiderman, cho phép kẻ tấn công nhắm mục tiêu đến khách hàng của hàng tá ngân hàng châu Âu và các nhà cung cấp dịch vụ tài chính trực tuyến, chẳng hạn như Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna và PayPal.

“Spiderman là một khung lừa đảo toàn diện sao chép hàng tá trang đăng nhập ngân hàng châu Âu và thậm chí một số cổng thông tin chính phủ,” nhà nghiên cứu Daniel Kelley của Varonis cho biết. “Giao diện có tổ chức của nó cung cấp cho tội phạm mạng một nền tảng tất cả trong một để khởi động các chiến dịch lừa đảo, thu thập thông tin đăng nhập và quản lý dữ liệu phiên bị đánh cắp trong thời gian thực.”

Điều đáng chú ý về bộ công cụ mô-đun này là người bán của nó đang tiếp thị giải pháp trong một nhóm nhắn tin Signal có khoảng 750 thành viên, đánh dấu một sự khác biệt so với Telegram. Đức, Áo, Thụy Sĩ và Bỉ là những mục tiêu chính của dịch vụ lừa đảo.

Giống như trường hợp của BlackForce, Spiderman sử dụng các kỹ thuật khác nhau như cho phép ISP, hàng rào địa lý và lọc thiết bị để xác định rằng chỉ những mục tiêu dự định mới có thể truy cập các trang lừa đảo. Bộ công cụ này cũng được trang bị để thu thập các cụm từ gốc ví tiền điện tử, chặn mã OTP và PhotoTAN và kích hoạt lời nhắc để thu thập dữ liệu thẻ tín dụng.

“Phương pháp đa bước linh hoạt này đặc biệt hiệu quả trong gian lận ngân hàng châu Âu, nơi chỉ thông tin đăng nhập thường không đủ để ủy quyền các giao dịch,” Kelley giải thích. “Sau khi thu thập thông tin đăng nhập, Spiderman ghi lại mỗi phiên với một mã định danh duy nhất để kẻ tấn công có thể duy trì tính liên tục trong toàn bộ quy trình lừa đảo.”

Các Cuộc Tấn Công 2FA Salty-Tycoon Lai Được Phát Hiện

BlackForce, GhostFrame, InboxPrime AI và Spiderman là những bổ sung mới nhất vào danh sách dài các bộ công cụ lừa đảo như Tycoon 2FA, Salty 2FA, Sneaky 2FA, Whisper 2FA, Cephas và Astaroth (không nên nhầm lẫn với một Trojan ngân hàng Windows cùng tên) đã xuất hiện trong năm qua.

Trong một báo cáo được công bố vào đầu tháng này, ANY.RUN cho biết họ đã quan sát thấy một Salty-Tycoon lai mới đã vượt qua các quy tắc phát hiện được điều chỉnh cho một trong hai. Làn sóng tấn công mới trùng với sự sụt giảm mạnh trong hoạt động Salty 2FA vào cuối tháng 10 năm 2025, với các giai đoạn đầu khớp với Salty2FA, trong khi các giai đoạn sau tải mã tái tạo chuỗi thực thi của Tycoon 2FA.

“Sự chồng chéo này đánh dấu một sự thay đổi có ý nghĩa; một sự thay đổi làm suy yếu các quy tắc cụ thể của bộ công cụ, làm phức tạp việc quy kết và cho phép những kẻ đe dọa có nhiều không gian hơn để vượt qua quá trình phát hiện sớm,” công ty cho biết.

“Cùng nhau, điều này cung cấp bằng chứng rõ ràng rằng một chiến dịch lừa đảo duy nhất và thú vị hơn là một mẫu duy nhất chứa dấu vết của cả Salty2FA và Tycoon, với Tycoon đóng vai trò là tải trọng dự phòng sau khi cơ sở hạ tầng Salty ngừng hoạt động vì những lý do vẫn chưa rõ ràng.”

Giải thích thuật ngữ:

Phishing Kit (Bộ công cụ lừa đảo): Một bộ các công cụ và tài nguyên được tạo sẵn, giúp kẻ tấn công dễ dàng tạo ra các trang web và email lừa đảo để đánh cắp thông tin cá nhân.
Man-in-the-Browser (MitB): Một loại tấn công, trong đó kẻ tấn công bí mật xâm nhập vào trình duyệt web của nạn nhân để theo dõi và thay đổi các giao dịch trực tuyến.
Multi-Factor Authentication (MFA): Một phương pháp bảo mật yêu cầu người dùng cung cấp nhiều hơn một hình thức xác minh để chứng minh danh tính của họ, ví dụ: mật khẩu và mã từ điện thoại.
One-Time Password (OTP): Một mật khẩu duy nhất, chỉ có giá trị trong một khoảng thời gian ngắn, thường được sử dụng như một phần của xác thực đa yếu tố.
Command and Control (C2): Cơ sở hạ tầng mà kẻ tấn công sử dụng để kiểm soát và chỉ đạo các phần mềm độc hại hoặc các thiết bị bị xâm nhập.
Spoofing (Giả mạo): Hành động che giấu danh tính thật bằng cách sử dụng một danh tính giả, thường được sử dụng trong các cuộc tấn công mạng để đánh lừa nạn nhân.