Siber güvenlik araştırmacıları dört yeni kimlik avı kitini belgeledi: BlackForce, GhostFrame, InboxPrime AI ve Spiderman geniş ölçekte kimlik bilgisi hırsızlığını kolaylaştırabilecek kapasitededir.
İlk olarak Ağustos 2025’te tespit edilen BlackForce, kimlik bilgilerini çalmak ve tek kullanımlık şifreleri (OTP’ler) yakalamak ve çok faktörlü kimlik doğrulamayı (MFA) atlamak için Tarayıcıdaki Adam (MitB) saldırıları gerçekleştirmek üzere tasarlandı. Kit, Telegram forumlarında 200 € (234 $) ile 300 € (351 $) arasında satılıyor.
Zscaler ThreatLabz araştırmacıları Gladis Brinda R ve Ashwathi Sasi’ye göre kit, aralarında Disney, Netflix, DHL ve UPS’in de bulunduğu 11’den fazla markayı taklit etmek için kullanıldı. Aktif olarak geliştirildiği söyleniyor.
Şirket, “BlackForce, güvenlik sağlayıcılarını, web tarayıcılarını ve tarayıcıları filtreleyen bir engelleme listesiyle çeşitli kaçırma teknikleri sunuyor” dedi. “BlackForce aktif olarak geliştirilme aşamasındadır. Sürüm 3, Ağustos ayı başına kadar yaygın olarak kullanıldı, sonraki aylarda ise sürüm 4 ve 5 piyasaya sürüldü.”
Kite bağlı kimlik avı sayfalarının, adlarında “önbellek bozma” karmaları olarak tanımlanan JavaScript dosyaları (örneğin, “index-[hash].js”), böylece kurbanın web tarayıcısını, önbelleğe alınmış bir sürüm kullanmak yerine kötü amaçlı komut dosyasının en son sürümünü indirmeye zorlar.
Kitin kullanıldığı tipik bir saldırıda, bir bağlantıya tıklayan kurbanlar kötü amaçlı bir kimlik avı sayfasına yönlendirilir, ardından sunucu tarafı kontrolü tarayıcıları ve botları filtreler ve onlara meşru bir web sitesini taklit edecek şekilde tasarlanmış bir sayfa sunar. Kimlik bilgileri sayfaya girildikten sonra ayrıntılar yakalanır ve Axios adlı bir HTTP istemcisi kullanılarak gerçek zamanlı olarak bir Telegram botuna ve bir komuta ve kontrol (C2) paneline gönderilir.
Saldırgan, çalınan kimlik bilgileriyle meşru web sitesinde oturum açmaya çalıştığında bir MFA istemi tetiklenir. Bu aşamada MitB teknikleri kullanılarak kurbanın tarayıcısına C2 paneli üzerinden sahte bir MFA kimlik doğrulama sayfası görüntüleniyor. Mağdurun sahte sayfaya MFA kodunu girmesi durumunda bu kod, tehdit aktörü tarafından toplanıp hesabına yetkisiz erişim sağlamak için kullanılır.
Zscaler, “Saldırı tamamlandıktan sonra kurban, meşru web sitesinin ana sayfasına yönlendiriliyor, bu da uzlaşmanın kanıtlarını saklıyor ve kurbanın saldırıdan habersiz kalmasını sağlıyor.” dedi.
GhostFrame 1 Milyondan Fazla Gizli Kimlik Avı Saldırısını Destekliyor
Eylül 2025’teki keşfinden bu yana ilgi çeken yeni ortaya çıkan bir kimlik avı kiti de GhostFrame’dir. Kitin mimarisinin merkezinde, zararsız görünen ve kötü niyetli davranışlarını yerleşik bir iframe içinde gizleyen basit bir HTML dosyası yer alıyor; bu dosya, kurbanları Microsoft 365 veya Google hesabı kimlik bilgilerini çalmak için kimlik avı oturum açma sayfasına yönlendiriyor.
Barracuda güvenlik araştırmacısı Sreyas Shetty, “iframe tasarımı ayrıca saldırganların, kiti dağıtan ana web sayfasını değiştirmeden kimlik avı içeriğini kolayca değiştirmesine, yeni hileler denemesine veya belirli bölgeleri hedeflemesine olanak tanıyor.” dedi. “Ayrıca, iframe’in işaret ettiği yeri basitçe güncelleyerek kitin yalnızca dış sayfayı kontrol eden güvenlik araçları tarafından algılanmasının önüne geçilebilir.”
GhostFrame kitini kullanan saldırılar, iş sözleşmeleri, faturalar ve şifre sıfırlama istekleriyle ilgili olduğunu iddia eden, ancak alıcıları sahte sayfaya yönlendirmek üzere tasarlanmış tipik kimlik avı e-postalarıyla başlar. Kit, tarayıcı geliştirici araçlarını kullanarak inceleme girişimlerini önlemek için anti-analiz ve anti-hata ayıklamayı kullanıyor ve birisi siteyi her ziyaret ettiğinde rastgele bir alt alan adı oluşturuyor.
Görünür dış sayfalar, iframe’in ayarlanmasından ve HTML öğesinden gelen tüm mesajlara yanıt verilmesinden sorumlu olan bir yükleyici komut dosyasıyla birlikte gelir. Bu, güvenilir hizmetlerin kimliğine bürünmek için ana sayfanın başlığını değiştirmeyi, sitenin sık kullanılan simgesini değiştirmeyi veya üst düzey tarayıcı penceresini başka bir alana yeniden yönlendirmeyi içerebilir.
Son aşamada, sürekli değişen alt alan adı üzerinden iletilen iframe aracılığıyla kurban, gerçek phishing bileşenlerini içeren ikincil bir sayfaya gönderilir ve böylece tehdidin engellenmesi zorlaşır. Kit ayrıca, yükleyici JavaScript’inin başarısız olması veya engellenmesi durumunda sayfanın altına eklenen yedek iframe biçiminde bir geri dönüş mekanizması içerir.
InboxPrime AI Kimlik Avı Kiti E-posta Saldırılarını Otomatikleştiriyor
BlackForce diğer geleneksel kimlik avı kitleriyle aynı taktikleri izliyorsa InboxPrime AI, toplu posta kampanyalarını otomatikleştirmek için yapay zekadan (AI) yararlanarak bir adım daha ileri gidiyor. 1.300 üyeli güçlü bir Telegram kanalında, hizmet olarak kötü amaçlı yazılım (MaaS) abonelik modeli altında 1.000 ABD Doları tutarında reklamı yapılıyor ve alıcılara kalıcı bir lisans ve kaynak koduna tam erişim sağlıyor.
Anormal araştırmacılar Callie Baron ve Piotr Wojtyla, “Gerçek insan e-posta gönderme davranışını taklit edecek şekilde tasarlandı ve hatta geleneksel filtreleme mekanizmalarından kaçınmak için Gmail’in web arayüzünü kullanıyor.” dedi.
“InboxPrime AI, yapay zekayı operasyonel kaçınma teknikleriyle harmanlıyor ve siber suçlulara mükemmele yakın teslim edilebilirlik, otomatik kampanya oluşturma ve meşru e-posta pazarlama yazılımını yansıtan gösterişli, profesyonel bir arayüz vaat ediyor.”
Platform, ticari e-posta otomasyon araçlarını yansıtan, müşterilerin hesapları, proxy’leri, şablonları ve kampanyaları yönetmesine olanak tanıyan kullanıcı dostu bir arayüz kullanır. Temel özelliklerinden biri, konu satırları da dahil olmak üzere tüm kimlik avı e-postalarını meşru iş iletişimini taklit edecek şekilde üretebilen yerleşik yapay zeka destekli e-posta oluşturucudur.
Bunu yaparken, bu hizmetler siber suçlara giriş engelini daha da azaltarak, bu tür e-postaların hazırlanması için gereken manuel çalışmayı etkili bir şekilde ortadan kaldırır. Bunun yerine saldırganlar, araç setinin seçilen temayla eşleşen ikna edici yemler oluşturmak için girdi olarak kullandığı dil, konu veya sektör, e-posta uzunluğu ve istenen ton gibi parametreleri yapılandırabilir.
Dahası, kontrol paneli kullanıcıların üretilen e-postayı yeniden kullanılabilir bir şablon olarak kaydetmesine olanak tanır ve belirli şablon değişkenlerini değiştirerek e-posta mesajlarının çeşitlemelerini oluşturmak için spintax desteğiyle tamamlanır. Bu, iki kimlik avı e-postasının aynı görünmemesini sağlar ve benzer içerik modellerini arayan imza tabanlı filtreleri atlamalarına yardımcı olur.
InboxPrime AI’da desteklenen diğer özelliklerden bazıları aşağıda listelenmiştir:
- Oluşturulan bir e-postayı yaygın spam filtresi tetikleyicileri açısından analiz edebilen ve kesin düzeltmeler önerebilen gerçek zamanlı bir spam tanılama modülü
- Saldırganların her Gmail oturumu için görünen adları özelleştirmesine olanak tanıyan gönderen kimliği rastgele seçimi ve kimlik sahtekarlığı
Abnormal, “Kimlik avının bu sanayileşmesinin savunmacılar için doğrudan etkileri var: artık daha fazla saldırgan, savunma bant genişliği veya kaynaklarında buna karşılık gelen bir artış olmadan, daha fazla hacimle daha fazla kampanya başlatabilir” dedi. “Bu yalnızca kampanya başlatma süresini hızlandırmakla kalmıyor, aynı zamanda tutarlı mesaj kalitesi sağlıyor, sektörler arasında ölçeklenebilir, tematik hedefleme sağlıyor ve saldırganlara, metin yazarlığı uzmanlığı olmadan profesyonel görünümlü kimlik avı operasyonları yürütme yetkisi veriyor.”
Örümcek Adam Avrupa Bankalarının Piksel Mükemmelliğinde Kopyalarını Yaratıyor
Siber güvenlik radarının altına giren üçüncü kimlik avı kiti, saldırganların düzinelerce Avrupa bankasının ve Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna ve PayPal gibi çevrimiçi finansal hizmet sağlayıcılarının müşterilerini hedeflemesine olanak tanıyan Spiderman’dir.
Varonis araştırmacısı Daniel Kelley, “Örümcek Adam, düzinelerce Avrupa bankacılığı giriş sayfasını ve hatta bazı hükümet portallarını kopyalayan tam kapsamlı bir kimlik avı çerçevesidir” dedi. “Düzenli arayüzü, siber suçlulara kimlik avı kampanyaları başlatmak, kimlik bilgilerini yakalamak ve çalınan oturum verilerini gerçek zamanlı olarak yönetmek için hepsi bir arada bir platform sağlıyor.”
Modüler kit hakkında dikkate değer olan şey, satıcısının çözümü yaklaşık 750 üyesi olan bir Signal mesajlaşma grubunda pazarlaması ve bu da Telegram’dan ayrılmayı işaret ediyor. Kimlik avı hizmetinin birincil hedefleri Almanya, Avusturya, İsviçre ve Belçika’dır.
BlackForce örneğinde olduğu gibi Spiderman, kimlik avı sayfalarına yalnızca amaçlanan hedeflerin erişebildiğini doğrulamak için ISP izin verilenler listesine ekleme, coğrafi sınırlama ve cihaz filtreleme gibi çeşitli teknikler kullanır. Araç seti aynı zamanda kripto para cüzdanı tohum ifadelerini yakalayacak, OTP ve PhotoTAN kodlarını engelleyecek ve kredi kartı verilerini toplamak için istemleri tetikleyecek şekilde donatıldı.
Kelley, “Bu esnek, çok adımlı yaklaşım, oturum açma bilgilerinin genellikle işlemleri yetkilendirmek için tek başına yeterli olmadığı Avrupa bankacılık dolandırıcılığında özellikle etkilidir” diye açıkladı. “Kimlik bilgilerini aldıktan sonra Spiderman, her oturumu benzersiz bir tanımlayıcıyla günlüğe kaydeder, böylece saldırgan, tüm kimlik avı iş akışı boyunca sürekliliği koruyabilir.”
Hibrit Salty-Tycoon 2FA Saldırıları Tespit Edildi
BlackForce, GhostFrame, InboxPrime AI ve Spiderman, geçen yıl ortaya çıkan Tycoon 2FA, Salty 2FA, Sneaky 2FA, Whisper 2FA, Cephas ve Astaroth (aynı adı taşıyan bir Windows bankacılık truva atıyla karıştırılmamalıdır) gibi uzun bir kimlik avı kitleri listesine eklenen en son eklentilerdir.
Bu ayın başlarında yayınlanan bir raporda ANY.RUN, yeni bir Salty-Tycoon hibritinin halihazırda her ikisine de ayarlanmış tespit kurallarını atladığını gözlemlediğini söyledi. Yeni saldırı dalgası, Ekim 2025’in sonlarında Salty 2FA etkinliğinde keskin bir düşüşle çakışıyor; erken aşamalar Salty2FA ile eşleşirken sonraki aşamalar, Tycoon 2FA’nın yürütme zincirini yeniden üreten kodu yükler.
Şirket, “Bu örtüşme anlamlı bir değişime işaret ediyor; kitlere özgü kuralları zayıflatan, ilişkilendirmeyi karmaşıklaştıran ve tehdit aktörlerine erken tespitten kaçmaları için daha fazla alan tanıyan bir değişim” dedi.
“Birlikte ele alındığında bu, tek bir kimlik avı kampanyasının ve daha da ilginci tek bir örneğin, hem Salty2FA hem de Tycoon’un izlerini içerdiğine ve Salty altyapısı hala belirsiz nedenlerden dolayı çalışmayı durdurduğunda Tycoon’un yedek yük olarak hizmet ettiğine dair açık bir kanıt sağlıyor.”