وثّق باحثون في الأمن السيبراني أربع مجموعات تصيّد جديدة شديدة التطور تحمل أسماء BlackForce وGhostFrame وInboxPrime AI وSpiderman، وجميعها قادرة على سرقة بيانات الدخول على نطاق واسع، مع دمج تقنيات تجاوز المصادقة متعددة العوامل MFA.
تُعد BlackForce — التي ظهرت في أغسطس 2025 — واحدة من أخطر هذه الأدوات، إذ تجمع بين سرقة بيانات الدخول وتنفيذ هجمات Man‑in‑the‑Browser لالتقاط كلمات المرور المؤقتة OTP. ويباع هذا الكيت عبر قنوات تيليغرام بأسعار تتراوح بين 200 و300 يورو، ويستهدف أكثر من 11 علامة تجارية عالمية مثل Disney وNetflix وDHL وUPS.
وتعتمد BlackForce على تقنيات مراوغة متقدمة، منها قوائم حظر لمنع وصول أدوات الفحص الأمنية، إضافة إلى استخدام ملفات JavaScript تحمل “هاشات” لكسر الذاكرة المؤقتة، ما يجبر المتصفح على تحميل أحدث نسخة من السكربت الخبيث. وفي الهجوم النموذجي، يُعاد توجيه الضحية إلى صفحة تصيّد تحاكي موقعًا شرعيًا، ثم تُرسل بياناته فورًا إلى لوحة تحكم المهاجم عبر بوت تيليغرام. وعند محاولة تسجيل الدخول الحقيقي، تُعرض صفحة MFA مزيفة لسرقة رمز التحقق، وبعد نجاح الهجوم يُعاد توجيه الضحية إلى الموقع الأصلي دون أن يشعر بأي اختراق.
GhostFrame: أكثر من مليون هجوم تصيّد خفي عبر iframe ديناميكي
ظهر GhostFrame في سبتمبر 2025، وسرعان ما أصبح من أكثر مجموعات التصيّد انتشارًا. يعتمد الكيت على ملف HTML بسيط يخفي داخل iframe صفحة تسجيل دخول مزيفة تستهدف حسابات Microsoft 365 وGoogle.
يسمح تصميم iframe للمهاجمين بتغيير المحتوى الخبيث دون تعديل الصفحة الأساسية، ما يجعل اكتشافه أصعب. كما يستخدم الكيت تقنيات مضادة للتحليل، ويولّد نطاقًا فرعيًا عشوائيًا في كل زيارة، ويعتمد على سكربت تحميل يغيّر عنوان الصفحة والأيقونة ويعيد التوجيه حسب الحاجة. وفي المرحلة الأخيرة، يُنقل الضحية إلى صفحة تصيّد ثانوية عبر iframe احتياطي، ما يزيد صعوبة الحظر.
InboxPrime AI: تصيّد صناعي يعتمد على الذكاء الاصطناعي
يُعد InboxPrime AI نقلة نوعية في عالم التصيّد، إذ يستخدم الذكاء الاصطناعي لتوليد حملات بريد خبيثة كاملة بشكل تلقائي. يُباع الكيت عبر نموذج MaaS مقابل 1000 دولار، ويمنح المشترين وصولًا دائمًا إلى الشيفرة المصدرية.
يولد النظام رسائل بريد احترافية تحاكي السلوك البشري، ويستخدم واجهة Gmail لتجاوز الفلاتر. ويمكن للمهاجم تحديد اللغة، الموضوع، الطول، والنبرة، ليقوم الذكاء الاصطناعي بإنشاء رسائل تصيّد جاهزة. كما يدعم الكيت تقنية spintax لإنشاء آلاف النسخ المختلفة من الرسالة نفسها لتجاوز أنظمة الكشف.
ويحتوي على وحدة تشخيص فوري للبريد المزعج، وتوليد أسماء مرسلين مزيفة، ما يجعل التصيّد أكثر احترافية وأقل تكلفة من أي وقت مضى.
Spiderman: نسخ مطابقة لبوابات البنوك الأوروبية
يستهدف كيت Spiderman عملاء عشرات البنوك الأوروبية مثل Deutsche Bank وING وVolksbank وKlarna وPayPal. ويتميز بواجهة منظمة تسمح بإدارة جلسات الضحايا في الوقت الحقيقي.
يستخدم الكيت تقنيات مثل geofencing وتصفية الأجهزة لضمان وصول الضحايا المستهدفين فقط. كما يستطيع التقاط عبارات الاسترداد لمحافظ العملات الرقمية، واعتراض رموز OTP وPhotoTAN، وجمع بيانات البطاقات البنكية. ويُباع الكيت عبر مجموعة على تطبيق Signal تضم نحو 750 عضوًا، في تحول لافت بعيدًا عن تيليغرام.
موجة هجومية هجينة تجمع بين Salty 2FA وTycoon 2FA
رصدت منصة ANY.RUN ظهور نسخة هجينة جديدة تجمع بين Salty 2FA وTycoon 2FA، ما يسمح بتجاوز قواعد الكشف المصممة لكل منهما. وتشير التحليلات إلى أن الهجمات تبدأ بأسلوب Salty ثم تنتقل إلى تنفيذ سلسلة Tycoon عند تعطل البنية التحتية لـ Salty، ما يعقّد الإسناد ويزيد قدرة المهاجمين على التخفي.
