Phishing, kits usam IA para roubo de credenciais

A nova geração de phishing: kits que usam IA e burlam MFA para roubo de credenciais em larga escala

Nos últimos meses, pesquisadores de segurança têm observado uma evolução preocupante nas ferramentas de phishing disponíveis no mercado clandestino: kits sofisticados que combinam automação, inteligência artificial e técnicas de bypass da autenticação multifator (MFA) para roubar credenciais de usuários em grande escala. Esses kits, agora comercializados como Phishing-as-a-Service (PhaaS), tornam ataques de engenharia social mais fáceis de executar e mais eficazes do que nunca, ampliando tanto a escala quanto a evasão contra mecanismos tradicionais de defesa. 

Este artigo explora as características técnicas desses kits, os riscos associados, as táticas e técnicas empregadas, e como organizações e usuários podem se proteger diante desse cenário de ameaça ampliado.

1. O que são os kits avançados de phishing e por que eles importam

Tradicionalmente, campanhas de phishing envolviam e-mails genéricos com links para páginas falsas — confiando na ignorância ou descuido do usuário para colher credenciais. O que vemos agora, entretanto, é uma nova geração de kits que:

• combinam inteligência artificial para gerar e-mails e páginas muito mais convincentes;

• incorporam técnicas que capturam códigos de MFA, incluindo One-Time Passwords (OTPs) e outros fatores de segunda etapa;

• empregam métodos de Man-in-the-Browser (MitB) para interceptar credenciais em tempo real;

• fornecem interfaces e dashboards que permitem a criminosos com pouca habilidade técnica conduzir campanhas em larga escala.

Relatórios recentes documentam ao menos quatro kits desse tipo, com nomes como BlackForce, GhostFrame, InboxPrime AI e Spiderman, todos desenhados para facilitar o roubo de credenciais e contornar a MFA, sem exigir conhecimento profundo de programação dos operadores. Esses kits chegaram ao mercado em 2025, e alguns já estão sendo usados para se passar por marcas conhecidas, como Disney, Netflix, DHL e UPS.

2. Principais kits e suas capacidades técnicas

BlackForce: MitB e MFA bypass clássico

O BlackForce é um dos kits mais documentados. Ele não apenas rouba credenciais, mas registra as senhas de uso único (OTPs) usadas como segundo fator, por meio de técnicas Man-in-the-Browser (MitB). Isso significa que, mesmo quando um usuário insere corretamente uma senha e um código de MFA, o kit captura essas informações em tempo real e redireciona para o atacante, permitindo o acesso completo à conta. 

Esse kit inclui funcionalidades como:

• bloqueio de scanners e bots de segurança para evitar detecção automática;

• scripts com hashes que forçam o navegador a sempre carregar a versão mais recente do código malicioso, evitando cache e defesa baseada em assinaturas. 

GhostFrame: iframe camuflado e evasão de análise

O GhostFrame adota uma abordagem diferente: ele usa um HTML aparentemente benigno que incorpora um iframe malicioso. Esse iframe direcciona o usuário para uma página falsa de login que captura credenciais e códigos MFA sem que ferramentas de segurança percebam. A arquitetura permite rápida troca de conteúdo sem revelar o site falso ao scanner; isso dificulta a detecção automatizada e aumenta a eficácia das campanhas. 

InboxPrime AI: IA para escala e personalização

InboxPrime AI representa a evolução do phishing com inteligência artificial. Ele oferece uma interface que gera campanhas por meio de IA, automatizando:

• criação de e-mails convincentes (texto, assunto e contexto);

• personalização de remetentes e temas para parecerem legítimos ao usuário;

• variações automáticas que dificultam a detecção por filtros tradicionais.
  Pesquisadores destacam que usuários podem definir idioma, setor e tom antes da IA gerar e-mails de phishing realistas, reduzindo drasticamente a barreira técnica para ataques. 

Spiderman: foco em serviços financeiros e MFA complexo

Por fim, o kit conhecido como Spiderman foca em imitar serviços financeiros europeus, capturando dados de credenciais, códigos OTP, seed phrases de carteiras de criptomoedas e informações de cartão de crédito. Ele incorpora filtros que só exibem a página de phishing para vítimas específicas (por localização ou dispositivo), evitando detecção massiva por scanners e reduzindo falsos positivos. 

3. Técnicas de evasão e sofisticação em phishing moderno

Esses kits modernos empregam táticas que tornam ataques muito mais difíceis de detectar e bloquear:

A. Evasão de segurança por blocklists adaptados

Várias soluções bloqueiam phishing com base em listas de sites suspeitos. Kits como BlackForce incorporam blocklists que filtram scanners, crawlers e fornecedores de segurança, retornando conteúdo legítimo para eles e exibindo a página maliciosa apenas para vítimas reais. Essa prática reduz drasticamente a visibilidade do ataque para técnicas automatizadas de detecção. 

B. Anti-análise e anti-debug no navegador

GhostFrame e outros kits incorporam scripts que detectam se estão sendo analisados ou depurados, e alteram seu comportamento para evitar revelar o conteúdo real da página a ferramentas de análise, dificultando a resposta de segurança tanto manual quanto automatizada. 

C. Geofencing e filtros de dispositivo

Spiderman exemplifica táticas de geofencing e filtragem por tipo de dispositivo, entregando conteúdo fraudulento apenas a alvos selecionados — por exemplo, vítimas em países específicos ou em dispositivos móveis — e retornando conteúdo benigno para outros visitantes. Essa técnica evita detecção por scanners de segurança amplos e prolonga a vida da infraestrutura de phishing. 

4. O impacto na segurança corporativa e digital

Escala ampliada e profissionalização do crime cibernético

O modelo PhaaS (Phishing-as-a-Service) industrializa o desenvolvimento e a operação de ataques. Em vez de cada grupo de criminosos construir seu kit do zero, plataformas como InboxPrime AI oferecem uma opção pronta para uso, com geração automática de conteúdo e controle de campanha por painel. Isso reduz barreiras técnicas e permite ataques em escala global.

Bypass de MFA — a falha crítica na defesa moderna

A autenticação multifator (MFA) é amplamente considerada uma barreira de segurança essencial em ambientes corporativos e sistemas de alto valor. A capacidade desses kits de capturar tokens de MFA e sessões em tempo real representa um ataque direto ao modelo de defesa que muitas organizações consideram seguro. Estudos similares mostram que phishing com técnicas Adversary-in-the-Middle (AiTM) podem capturar tokens e cookies após o segundo fator, tornando o MFA insuficiente sem controles adicionais.

Aumento de fraudes e contas comprometidas

Credenciais roubadas não apenas permitem acesso não autorizado a contas de e-mail, sistemas corporativos ou contas cloud, mas também podem ser usadas como base para ataques de impersonation, redirecionamento de pagamentos, fraude financeira e extorsão. A capacidade de automatizar esses roubos em grande escala precisa ser vista como uma ameaça sistêmica, não apenas episódica.

5. Estratégias de defesa eficazes

Diante desse cenário, as soluções tradicionais de apenas bloquear URLs de phishing já não são suficientes. As seguintes práticas são recomendadas:

A. Educação e simulações de phishing

Organizações devem realizar treinamentos regulares para colaboradores, simulando campanhas realistas que incluam técnicas avançadas — por exemplo, páginas com URLs quase corretos e mensagens persuasivas geradas por IA. 

B. Autenticação resistente ao phishing

Alguns mecanismos de MFA são mais resistentes que outros. Tokens FIDO2/Passkeys e soluções baseadas em certificações de dispositivo reduzem a eficácia de ataques que dependem de capturar códigos temporários. 

C. Análise comportamental e defesa em camadas

Ferramentas de detecção que analisam comportamento (como detecção de anomalias de login, padrões incomuns ou acesso simultâneo de diferentes regiões) aumentam a chance de detectar credenciais comprometidas mesmo com MFA ativo. 

D. Bloqueio dinâmico de domínios e filtragem de e-mail avançada

Soluções que usam heurísticas, reputação dinâmica e aprendizado de máquina oferecem maior defesa contra kits que mudam rapidamente de infraestrutura para evitar detecção tradicional. 

Conclusão

A emergência de kits de phishing que combinam inteligência artificial, técnicas de evasão e capacidade de contornar autenticação multifator representa um novo patamar no cenário de ameaças cibernéticas. Esses kits não são apenas mais eficientes que seus antecessores; eles industrializam ataques que antes eram trabalhosos e altamente manuais, transformando-os em serviços prontos para uso — e acessíveis a criminosos sem habilidades avançadas. 

Para defensores, isso significa que já não basta confiar em táticas tradicionais de bloqueio de URLs ou MFA padrão. Defesas resilientes exigem uma combinação de educação dos usuários, autenticação robusta, monitoramento comportamental, segmentação de risco e ferramentas capazes de responder a ameaças automatizadas em tempo real. A cibersegurança moderna deve, portanto, ser tanto técnica quanto estratégica — antecipando novas formas de engenharia social que, agora, contam com o poder da IA e a capacidade de escalar ataques com eficácia assustadora.

Referências Bibliográficas

• Kits avançados de phishing usam IA e técnicas para burlar MFA e roubar credenciais em grande escala — CaveiraTech. Disponível em: https://caveiratech.com/post/kits-avancados-de-phishing-usam-ia-e-tecnicas-para-burlar-mfa-e-roubar-credenciais-em-grande-escala-6345394 CaveiraTech

• New advanced phishing kits use AI and MFA bypass tactics to steal credentials at scale, The Hacker News. Disponível em: https://thehackernews.com/2025/12/new-advanced-phishing-kits-use-ai-and.html