Эксперты исследовательского подразделения ThreatLabz компании Zscaler обнаружили и проанализировали новый фишинговый набор (phishing kit), получивший название BlackForce. Этот инструмент, впервые замеченный в начале августа 2025 года, представляет серьёзную угрозу, поскольку способен не только красть учётные данные, но и обходить двухфакторную аутентификацию (MFA) с помощью атак типа "человек посередине в браузере" (Man-in-the-Browser, MitB). Набор активно продаётся на форумах в Telegram по цене от 200 до 300 евро и уже использовался для подделки более чем 11 известных брендов, включая Disney, Netflix, DHL и UPS.
Описание
Техническая эволюция и архитектура
С момента появления было выпущено как минимум пять различных версий BlackForce, что свидетельствует об активной разработке. Анализ версий 3, 4 и 5 показал значительную эволюцию. Изначально набор был полностью клиентским и не имел состояния (stateless), что делало атаку уязвимой. Например, обновление страницы жертвой могло привести к потере похищенных данных. Однако в версиях 4 и 5 архитектура стала гибридной (клиент-серверной) и обрела состояние (stateful). Теперь инструмент использует механизм sessionStorage браузера для сохранения украденных учётных данных на протяжении всей многоэтапной атаки, что делает её более устойчивой.
Ключевой особенностью BlackForce является двухканальная архитектура для передачи данных. Она разделяет фишинговый сервер и канал сбора информации, чаще всего Telegram. Следовательно, даже если панель управления злоумышленника (C2) будет обезврежена, похищенные данные останутся в сохранности. В ранней версии 3 клиентская часть напрямую отправляла данные в Telegram с помощью библиотеки Axios. В более новых версиях эта конфигурация перенесена на серверную сторону, что усложняет отслеживание конечной точки утечки.
Целенаправленный обход MFA
Главная опасность BlackForce заключается в его способности динамически обходить двухфакторную аутентификацию в реальном времени. После того как жертва вводит логин и пароль на поддельной странице, оператор получает оповещение. Затем он пытается войти в настоящий сервис, что запускает запрос на MFA. Используя панель управления, злоумышленник развёртывает в браузере жертвы поддельную страницу для ввода одноразового кода, будь то SMS, приложение или карта. Жертва, считая процесс легитимным, вводит код, который тут же перехватывается и используется для полного захвата учётной записи. После успешной атаки пользователь перенаправляется на настоящий сайт, оставаясь в неведении о компрометации.
Техники уклонения от обнаружения
BlackForce оснащён комплексными механизмами защиты от анализа, которые постоянно совершенствуются. Набор использует блокирующие списки (blocklist) для фильтрации нежелательного трафика. Клиентская часть проверяет User-Agent посетителя, сравнивая его с регулярными выражениями, чтобы выявить веб-краулеров, сканеры безопасности (например, Nmap) и инструменты SEO. Серверная сторона в версиях 4 и 5 выполняет более глубокий анализ, проверяя IP-адрес, интернет-провайдера (ISP) и страну происхождения трафика. Кроме того, реализована политика "только мобильные устройства", которая отклоняет десктопные User-Agent. Версия 5 также добавила обфускацию клиентского JavaScript-кода для затруднения анализа.
Управление через C2-панель
Панель управления BlackForce (C2 panel) является центром управления атакой. Она предоставляет злоумышленнику набор функций, которые можно разделить на четыре категории. Во-первых, функции идентификации посетителя и защиты набора от обнаружения. Во-вторых, функции кражи и отправки данных жертвы. В-третьих, инструменты для управления интерактивной фишинговой сессией в реальном времени. В-четвёртых, административные функции для настройки атаки. Эта панель позволяет оператору гибко управлять процессом, подстраиваясь под конкретный целевой бренд и тип запрашиваемой аутентификации.
Выводы и рекомендации
Быстрая итерация версий BlackForce демонстрирует, что авторы активно учатся и адаптируют свой инструмент для повышения живучести. Возможность обходить MFA делает этот набор особенно опасным, так как он приводит к полному захвату учётных записей. Организациям следует укреплять свою защиту, внедряя архитектуру нулевого доверия (Zero Trust), которая минимизирует ущерб от подобных атак за счёт строгого контроля доступа и постоянной проверки подлинности. Кроме того, важно обучать сотрудников распознаванию фишинговых атак и использовать многофакторную аутентификацию на основе аппаратных ключей или приложений-аутентификаторов, которые менее уязвимы для перехвата по сравнению с SMS.
Индикаторы компрометации
Domains
- centro-de-ayuda-help.com
- connectrenew-gateway.com
- cuenta-renovacion-es.com
- cuenta-renueva.com
- faq-help-center.com
- fixmy-nflix.info
- myflx-sub.com
- netfliix-uae.com
- netfx-actualizar.com
- obnovintfx.help
- renew-netfix.com
- supportnetfiixsavza.com
- telenet-flix.com
X-RapidAPI-Key
- D25d84708emsh93f7fcec521ebbdp19097cjsn8c5c6927d768
- 209e6fc4bmsh3b5a51c4cceb480p151d44jsn4ceb15f1dfd2
- 950d778f8cmsh139147d5e35931fp1c9b90jsn7711b2ed7d7c
