Pesquisadores de cibersegurança da Varonis descobriram um novo kit de phishing chamado Spiderman, que facilita o acesso a clientes de bancos e provedores de serviços financeiros online para cibercriminosos. O principal alvo da campanha são logins bancários europeus, e por enquanto, não existe risco para os brasileiros.
O kit surpreende por ter uma estrutura profissional e um escopo grande de alvos. A interface do Spiderman permite acesso tudo-em-um para os cibercriminosos, inclusive possibilidades de lançar campanhas de phishing, roubar credenciais e gerenciar em tempo real os dados roubados.
smart_display
Nossos vídeos em destaque
O que significa que não é necessário um nível muito alto de conhecimento em desenvolvimento web ou mesmo em phishing – até os criminosos menos qualificados conseguem lançar uma campanha de sucesso.
A democratização do cibercrime
Esse comportamento faz parte de uma tendência que especialistas em cibersegurança têm acompanhado. SpamGPT, MatrixPDF e Atroposia são alguns exemplos de plataformas que tem simplificado o cibercrime até para aqueles agentes maliciosos que não tem experiência na área.
Spiderman é uma estrutura de phishing completa, capaz de replicar dezenas de páginas de login de instituições bancárias e até governamentais da Europa. Apesar dos kits de phishing para bancos serem os únicos disponíveis amplamente para compra, a plataforma consolida múltiplas instituições financeiras europeias em um kit segmentado entre países.
Os alvos do inimigo da vizinhança online
Alguns bancos que estão disponíveis em módulos no Spiderman são Deutsche Bank, Commerzbank, ING (Alemanha e Bélgica), CaixaBank, PayPal e Klarna, e vários provedores de carteiras cripto como Ledger, Metamask e Exodus. Um grupo no Signal, aparentemente vinculado a um dos vendedores da campanha, já tem 750 membros e potenciais compradores.
Claro que essa não é uma categoria nova no cibercrime, nem pelo modo de atuação e muito menos pelos alvos. No entanto, especialistas afirmam que essa é uma das ameaças mais fortes de 2025. A ampliação de escala e cobertura que ultrapassa fronteiras são alguns dos fatores que dão um tom mais ameaçador ao Spiderman.
- Consolidação de alvos em uma única interface: a maioria dos kits de phishing foca em um único banco ou região. O Spiderman mescla dezenas de instituições em cinco países. Isso aumenta a eficiência e permite que os atacantes transitem entre regiões rapidamente;
- Segmentação que contorna a detecção tradicional: com whitelisting de ISP, bloqueio geográfico e filtragem de dispositivos, o Spiderman reduz drasticamente a visibilidade para especialistas em cibersegurança. Muitos produtos de detecção de phishing são projetados para escanear a infraestrutura que este kit filtra explicitamente;
- Forte suporte para roubo de criptomoedas: módulos de captura de frases-semente cripto (“Ledger Seedphrase”, “Metamask Seedphrase”, “Exodus Seedphrase”) sinalizam uma mudança em direção a operações de fraude híbridas bancárias + cripto;
- Interceptação de OTP em tempo real se tornará a norma: a inclusão de captura de Phototan e OTP indica um alto nível de sofisticação geral. Bancos europeus que dependem de autenticação TAN permanecem especialmente vulneráveis;
- Evolução a longo prazo é inevitável: como o Spiderman é modular, novos bancos, portais e métodos de autenticação podem ser adicionados. À medida que países europeus implementam fluxos de e-banking atualizados, este kit provavelmente evoluirá em paralelo.
Como funciona o kit Spiderman, na prática
Atacantes usando o Spiderman selecionam o banco ou serviço que desejam personificar, clicam em “Index This Bank” (Indexar Este Banco), e o kit prepara automaticamente um clone de página de phishing com login, senha, prompts de PhotoTAN/2FA e formulários de entrada de cartão de crédito.
Seu painel de controle exibe sessões das vítimas em tempo real, permitindo que os criminosos acompanhem o status de cada alvo, bancos, entradas do usuário e detalhes do dispositivo.
Além disso, é possível acessar algumas ferramentas com o objetivo de otimizar os ataques como monitoramento de sessão ao vivo, exportação de credenciais com um clique, coleta completa de cartão de crédito e identidade e captura do PhotoTAN, um verificador de identidade que substitui listas de senhas ou SMS, usando uma espécie de QR Code colorido que é escaneado pelo aplicativo do banco no seu smartphone para gerar um código de segurança único.
A interface revela que, assim que a vítima insere suas credenciais de login iniciais, o cibercriminoso pode acionar prompts adicionais, como pedir número de cartão de crédito, data de validade, número de telefone ou código PhotoTAN.
Esse comportamento não é estranho para os usuários da Europa, que diferentemente do Brasil, não podem apenas confirmar a identidade com a biometria facial ou digital.
Sistema de organização para cibercriminosos
Depois que as credenciais já foram capturadas, o Spiderman registra cada sessão com um identificador único para que o atacante possa manter a continuidade durante todo o fluxo de trabalho de phishing. Além de possibilitar o golpe, a plataforma ainda ensina o cibercriminoso a se organizar.
Para agravar a situação, o Spiderman possui um sistema de controle de acesso que filtra quem consegue visualizar as páginas falsas.
Basicamente, ele tem um módulo que bloqueia pesquisadores de segurança e garante que apenas vítimas reais acessem o golpe através de filtros por país, provedor de internet, tipo de dispositivo e redirecionamento de visitantes indesejados para sites legítimos como o Google.
Essa estratégia dificulta a detecção por ferramentas de segurança e scanners automatizados.
Brasileiros estão em risco?
Embora este kit específico não mire o Brasil, a técnica e a sofisticação demonstradas podem inspirar grupos de cibercriminosos que atuem por aqui a criarem kits similares. Nem todos os brasileiros podem ficar tranquilos, já que aqueles que têm contas em bancos europeus ou usam serviços como PayPal e carteiras de criptomoedas estrangeiras.
Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.