Ảnh minh họa. WebProNews

Những bộ công cụ này được đánh giá là đang góp phần “công nghiệp hóa” hoạt động lừa đảo trực tuyến, hạ thấp đáng kể rào cản kỹ thuật đối với tội phạm mạng.

BlackForce: Đánh cắp OTP, vượt MFA bằng kỹ thuật Man-in-the-Browser

Theo Zscaler ThreatLabz, bộ phận nghiên cứu mối đe dọa của hãng bảo mật Zscaler, mã độc BlackForce - phát hiện lần đầu tháng 8/2025 được thiết kế để đánh cắp thông tin đăng nhập và mã xác thực một lần (OTP) thông qua kỹ thuật Man-in-the-Browser (MitB), từ đó vượt qua MFA.

Man-in-the-Browser (MitB) là kỹ thuật tấn công sử dụng mã độc can thiệp trực tiếp vào trình duyệt web của nạn nhân, cho phép tội phạm mạng theo dõi, sửa đổi nội dung hiển thị và đánh cắp dữ liệu ngay khi người dùng nhập, bao gồm cả mã xác thực một lần (OTP), dù kết nối sử dụng HTTPS.

Bộ công cụ này đang được rao bán trên các diễn đàn Telegram với giá từ 200–300 euro, đã được sử dụng để giả mạo hơn 11 thương hiệu lớn như Disney, Netflix, DHL hay UPS. BlackForce liên tục được cập nhật, với các phiên bản mới xuất hiện trong những tháng gần đây.

Một điểm đáng chú ý là BlackForce tích hợp cơ chế né tránh tinh vi, tự động chặn các nhà cung cấp bảo mật, trình quét và bot phân tích. Các trang lừa đảo còn sử dụng kỹ thuật “cache busting” để buộc trình duyệt nạn nhân luôn tải phiên bản mã độc mới nhất.

Trong kịch bản tấn công điển hình, sau khi nạn nhân nhập thông tin đăng nhập, dữ liệu sẽ được gửi theo thời gian thực về bot Telegram và máy chủ điều khiển (C2). Khi kẻ tấn công đăng nhập vào dịch vụ thật và kích hoạt MFA, BlackForce sẽ hiển thị trang xác thực giả, đánh cắp mã MFA và chiếm quyền truy cập tài khoản. Sau đó, nạn nhân bị chuyển hướng về trang chính thống nhằm che giấu dấu hiệu bị xâm nhập.

GhostFrame: Hơn 1 triệu cuộc tấn công lừa đảo “tàng hình”

Một bộ công cụ khác là GhostFrame, xuất hiện từ tháng 9/2025, đã nhanh chóng được sử dụng trong hơn 1 triệu cuộc tấn công lừa đảo. Cốt lõi của GhostFrame là một trang HTML “vô hại”, nhưng ẩn hành vi độc hại trong iframe, dẫn người dùng đến trang giả mạo đăng nhập Microsoft 365 hoặc Google.

Thiết kế iframe cho phép kẻ tấn công thay đổi nội dung lừa đảo, nhắm mục tiêu theo khu vực mà không cần sửa trang chính, giúp né tránh nhiều công cụ phát hiện. GhostFrame còn sử dụng chống phân tích, chống debug, tự động tạo tên miền con ngẫu nhiên mỗi lần truy cập.

Chuỗi tấn công thường bắt đầu bằng email giả mạo liên quan đến hợp đồng, hóa đơn hoặc yêu cầu đặt lại mật khẩu. Nạn nhân cuối cùng bị chuyển sang trang lừa đảo thực sự thông qua iframe từ tên miền liên tục thay đổi, khiến việc chặn lọc trở nên khó khăn hơn.

InboxPrime AI: Dùng AI tự động hóa chiến dịch gửi email lừa đảo

Nếu BlackForce và GhostFrame tập trung vào kỹ thuật vượt MFA, thì InboxPrime AI lại đẩy lừa đảo lên một mức độ mới bằng cách ứng dụng trí tuệ nhân tạo để tự động hóa chiến dịch gửi email hàng loạt.

Được quảng bá theo mô hình malware-as-a-service, InboxPrime AI được chào bán với giá 1.000 USD, kèm giấy phép vĩnh viễn và toàn quyền truy cập mã nguồn. Bộ công cụ này mô phỏng hành vi gửi email của con người, thậm chí tận dụng giao diện web của Gmail để né bộ lọc.

InboxPrime AI tích hợp trình tạo email bằng AI, có thể tự động soạn toàn bộ nội dung lừa đảo, từ tiêu đề đến thân email, theo phong cách giao tiếp doanh nghiệp. Kẻ tấn công chỉ cần cấu hình các tham số như ngôn ngữ, ngành nghề, độ dài hay giọng điệu.

Ngoài ra, InboxPrime AI còn hỗ trợ tin tặc: phân tích email theo thời gian thực để tránh bị đánh dấu spam; ngẫu nhiên hóa và giả mạo danh tính người gửi; tạo nhiều biến thể email khác nhau (spintax) để né bộ lọc chữ ký

Theo các chuyên gia, điều này giúp gia tăng mạnh quy mô và tốc độ triển khai lừa đảo, trong khi năng lực phòng thủ không tăng tương ứng.

Spiderman: Sao chép hoàn hảo các trang ngân hàng châu Âu

Bộ công cụ Spiderman cho phép tội phạm mạng tạo bản sao gần như hoàn hảo của hàng chục ngân hàng và dịch vụ tài chính châu Âu, bao gồm Deutsche Bank, ING, CaixaBank, Klarna, PayPal…

Khác với xu hướng phổ biến trên Telegram, Spiderman được rao bán trong nhóm Signal khoảng 750 thành viên, nhắm chủ yếu vào Đức, Áo, Thụy Sĩ và Bỉ.

Spiderman sử dụng nhiều lớp lọc như theo nhà mạng, vị trí địa lý, thiết bị, chỉ cho phép mục tiêu dự kiến truy cập trang lừa đảo. Bộ công cụ còn có khả năng: thu thập cụm từ khôi phục “seed phrase" ví tiền số; chặn mã OTP và PhotoTAN (mã QR hoặc hình ảnh đặc biệt của Ngân hàng); ghi nhận dữ liệu thẻ thanh toán

Phương pháp tiếp cận nhiều bước này đặc biệt hiệu quả trong bối cảnh gian lận ngân hàng châu Âu, nơi thông tin đăng nhập chưa đủ để thực hiện giao dịch mà còn cần các thông tin xác thực khác.

Xu hướng mới: Phishing “lai” kết hợp nhiều kỹ thuật để tránh bị phát hiện

Các bộ công cụ lừa đảo nói trên là bước tiếp theo của làn sóng phishing kit chuyên vượt xác thực hai yếu tố (2FA/MFA) như Tycoon 2FA, Salty 2FA, Sneaky 2FA… vốn đã bùng phát mạnh trong năm qua.

Điểm đáng lo ngại là các bộ công cụ này không còn hoạt động đơn lẻ, mà đang được kết hợp linh hoạt trong cùng một chiến dịch tấn công. Theo nền tảng phân tích mã độc ANY.RUN, một biến thể mới mang tính “lai” giữa Salty 2FA và Tycoon 2FA đã được ghi nhận: giai đoạn đầu của cuộc tấn công mang đặc trưng của Salty 2FA, nhưng ở các bước sau lại chuyển sang tải và thực thi chuỗi mã độc của Tycoon 2FA.

Phương thức này khiến các hệ thống phát hiện dựa trên dấu hiệu kỹ thuật hoặc hành vi quen thuộc của từng bộ công cụ trở nên kém hiệu quả, đồng thời gây khó khăn cho việc truy vết nguồn gốc và quy trách nhiệm cho từng nhóm tấn công cụ thể.

An Lâm (Theo The Hacker News)