Novos kits de golpe já atingem mais de 1 milhão de usuários e escalam ataques a bancos, Google e Netflix

Relatório de pesquisadores da Zscaler ThreatLabz mostra que kits de golpe comercializados em fóruns de mensageria já ultrapassam a marca de um milhão de vítimas em diversos países. Os pacotes BlackForce, GhostFrame, InboxPrime AI e Spiderman transformam o phishing em um serviço pronto para uso, permitindo a criminosos sem conhecimento técnico lançar campanhas em escala contra bancos, plataformas de streaming e contas corporativas.

Como os novos kits de golpe se consolidaram como ferramenta de massa

O ponto de partida do levantamento é a constatação de que quatro conjuntos distintos, quando analisados em conjunto, alcançaram sete dígitos de alvos comprometidos. A popularização desses kits decorre da distribuição em canais privados nos aplicativos Telegram e Signal, onde são oferecidos por valores que variam de pouco mais de mil a mais de cinco mil reais, dependendo do nível de sofisticação e dos recursos de automação embarcados.

Cada pacote traz infraestrutura pré-configurada, material gráfico que imita sites legítimos e painéis de controle em tempo real. Dessa forma, o processo tradicional de criação de páginas falsas, envio de e-mails fraudulentos e coleta de credenciais foi condensado em soluções prontas, operadas como verdadeiros produtos de mercado. Entre os atrativos anunciados pelos vendedores estão suporte pós-compra, atualizações contínuas e manuais que orientam o usuário a driblar sistemas de autenticação multifator.

O relatório indica que os kits atuam em fases: primeiro filtram rastreadores, depois exibem páginas clonadas, e finalmente enviam dados capturados para bots ou servidores de comando e controle. Em comum, todos integram algum mecanismo que contorna ou explora a validação de duas etapas, fator que aumenta drasticamente as chances de invasão efetiva.

BlackForce: kit de golpe que mira serviços de streaming e logística

Detectado pela primeira vez em agosto de 2025, o BlackForce é comercializado por preços entre R$ 1.268 e R$ 1.903. Seu foco é roubar credenciais e executar ataques Man-in-the-Browser (MitB) para interceptar comunicações entre usuário e site legítimo. No histórico já constam páginas falsas de pelo menos onze marcas, como Disney, Netflix, DHL e UPS.

A arquitetura do BlackForce utiliza arquivos JavaScript nomeados com hashes de cache busting, o que força o navegador da vítima a baixar a versão mais recente do script a cada visita. Quando a pessoa clica em um link malicioso, um servidor de verificação remove bots e mecanismos de análise antes de abrir a página clonada. Credenciais digitadas são encaminhadas em tempo real para um bot no Telegram e para o painel C2 por meio de requisições Axios.

O MitB entra em ação no passo seguinte: ao tentar realizar login com os dados furtados, o atacante se depara com um prompt de autenticação multifator. Nesse momento, o painel injeta telas falsas no navegador da vítima, coleta o código de verificação e desbloqueia a conta real para o invasor.

GhostFrame: kit de golpe voltado a contas Google e Microsoft 365

Descoberto em setembro de 2025, o GhostFrame baseia-se em um arquivo HTML aparentemente inofensivo, cuja ameaça real é um iframe oculto. Esse elemento redireciona usuários a páginas de login clonadas para capturar credenciais de serviços do Google e do Microsoft 365.

O ciclo de ataque geralmente começa com e-mails que simulam urgência vinculada a contratos, faturas ou redefinições de senha. Ao clicar, a vítima é conduzida a um subdomínio gerado aleatoriamente, recurso que dificulta bloqueios por listas de domínios. O kit emprega rotinas anti-análise e anti-depuração para frustrar ferramentas de desenvolvedor e ainda altera título, favicon e redirecionamentos da página conforme o contexto.

A campanha observada concentra vítimas na Alemanha, Áustria, Suíça e Bélgica. Caso o JavaScript principal falhe, há um iframe de contingência anexado à página, assegurando a exibição do conteúdo fraudulento. Esse mecanismo de redundância mantém a taxa de sucesso elevada mesmo quando parte do código é detectada ou bloqueada pelo navegador.

InboxPrime AI: automação de phishing com inteligência artificial

Posicionado como versão avançada do BlackForce, o InboxPrime AI é oferecido em modelo de licença perpétua por valores superiores a R$ 5 mil. O diferencial reside no uso de inteligência artificial para imitar o comportamento de envios humanos dentro da própria interface web do Gmail, estratégia que reduz alertas em filtros de spam.

O kit centraliza gerenciamento de contas, proxies e modelos de mensagem em um único painel. Um gerador alimentado por IA cria e-mails de phishing completos — do assunto à assinatura — sem intervenção do operador. Para elevar a taxa de entrega, o sistema suporta spintax, gerando variações que evitam repetições suspeitas, e inclui um módulo de diagnóstico em tempo real que aponta ajustes para escapar de listas de bloqueio.

Com isso, usuários sem histórico técnico conseguem disparar campanhas segmentadas e convincentes. As mensagens passam a exibir tom profissional, logotipos apropriados e personalização dinâmica, o que, de acordo com os especialistas citados no relatório, amplia a exposição de públicos específicos e aumenta o risco de comprometimento de dados sensíveis.

Spiderman: kit de golpe direcionado a bancos europeus

O quarto kit analisado, Spiderman, fornece uma plataforma tudo-em-um voltada ao setor financeiro europeu. Seu painel de controle apresenta sessões de vítimas em tempo real, listando banco envolvido, entradas de usuário e detalhes de dispositivo. O pacote permite lançar campanhas de phishing, monitorar capturas de dados e exportar credenciais com um clique.

Entre os recursos destacam-se a coleta integral de informações de cartão de crédito, identidade e a interceptação do PhotoTAN — mecanismo de autenticação baseado em QR Code colorido usado por instituições bancárias da região. Ao capturar o código único gerado pelo aplicativo do banco, o invasor obtém a chave que substitui senhas ou SMS, ganhando acesso à movimentação financeira do titular.

A estrutura profissional inclui ainda monitoramento de sessão ao vivo, possibilitando que o operador reaja rapidamente quando a vítima interage com a conta. A facilidade de uso e o amplo escopo tornam o Spiderman um facilitador de fraude bancária sem precedentes na avaliação dos pesquisadores.

Impacto global e evolução constante dos kits de golpe

O denominador comum entre BlackForce, GhostFrame, InboxPrime AI e Spiderman é o modelo “malware-as-a-service”, no qual o desenvolvedor vende ou licencia a ferramenta, enquanto usuários finais executam os ataques. Esse formato cria um ciclo de atualização contínua: conforme provedores e empresas reforçam defesas, novas versões dos kits surgem com funções adicionais, como bypass de autenticação, rotinas anti-forense e integração a mensagerias para entrega instantânea de dados roubados.

No intervalo analisado, o BlackForce avançou da versão 3 para as versões 4 e 5, sinalizando desenvolvimento ativo. GhostFrame adota subdomínios dinâmicos que mudam a cada acesso, estratégia semelhante à usada por agentes de malware avançado. InboxPrime AI aposta em inteligência artificial e rotinas de teste de spam para ajustar automaticamente cada disparo. Por fim, Spiderman agrega painéis analíticos que lembram dashboards corporativos e oferecem visão granular de cada transação interceptada.

Com a contagem de vítimas já ultrapassando um milhão, o relatório indica que os kits permanecem em circulação e seguem em evolução nos canais privados onde são comercializados. Pesquisadores monitoram as atualizações subsequentes, principalmente as versões 4 e 5 do BlackForce, lançadas após agosto de 2025.