BlackForce: эволюция фишинга, обход MFA и MitB‑атаки

«Набор для фишинга BlackForce, идентифицированный Zscaler ThreatLabZ в августе 2025 года, быстро эволюционировал и способен проводить сложные атаки, включая методы Man-in-the-Browser (MitB), которые могут обходить Многофакторную аутентификацию (MFA).» — Zscaler ThreatLabZ

Исследование Zscaler ThreatLabZ выявило быстро адаптирующееся фишинговое решение BlackForce, которое уже распространилось в криминальных каналах и нацелено на крупные бренды. Набор продаётся в Telegram по цене от $200 до $300 и претерпел минимум пять версий, каждая из которых добавляла новые тактики для обхода механизмов обнаружения и повышения устойчивости атак.

Ключевые характеристики и вектор атаки

BlackForce реализует структурированную цепочку атак с взаимодействием человека-оператора и автоматизированных компонентов. Основные шаги атаки выглядят так:

  • Идентификация целей и предварительная проверка аккаунтов;
  • Вовлечение оперативного оператора для управления атакой и принятия решений;
  • Точка входа — на первый взгляд безобидная HTML-страница, которая подгружает всю платформу фишинга;
  • Использование JavaScript-логики с хэшами для перебора кэша и сокрытия поведения скриптов;
  • Коммуникация между злоумышленником и скомпрометированной системой осуществляется через Axios;
  • Панель C2 обеспечивает управление и контроль взаимодействий жертв в режиме реального времени.

Технические нововведения и механизмы устойчивости

За короткий срок разработчики BlackForce внедрили ряд улучшений, направленных на уклонение от анализа и повышение надёжности похищенных данных:

  • Анти-анализ и эмуляция человека: встроенная база сигнатур проверяет строки User-Agent, выявляя автоматизированные взаимодействия и препятствуя запуску вредоносной логики на системах аналитики;
  • Обход обнаружения через JavaScript: хэширование и перебор кэша помогают скрыть характерные индикаторы поведения фишинга;
  • Переход к состоянию сеанса: начиная с версий 4–5 BlackForce использует sessionStorage браузера для сохранения украденных учётных данных во время выполнения сценария, что снижает риск потери данных при прерывании атаки;
  • Эволюция коммуникаций: в ранних версиях было несколько экземпляров Axios для разных задач (взаимодействие с C2 и управление), позже функции были объединены, а эксфильтрация через Telegram перенесена на серверную сторону для лучшего закрепления результатов.

Почему это опасно: MitB, обход MFA и эксфильтрация

BlackForce демонстрирует набор приёмов, характерных для современных целенаправленных фишинг-кампаний:

  • Man-in-the-Browser (MitB) — позволяет перехватывать и изменять взаимодействие пользователя с веб-интерфейсом, включая обход MFA в ряде сценариев;
  • Использование веб-сервисов и внешних каналов для эксфильтрации данных (включая Telegram на серверной стороне) делает блокировку на уровне канала менее эффективной;
  • Антидетекционные проверки User-Agent и другие меры обфускации (T1027) усложняют задачу систем защиты и автоматизированного анализа.

Соответствие MITRE ATT&CK

По классификации MITRE ATT&CK BlackForce репрезентует комбинацию техник:

  • T1566 — Initial Access: Phishing;
  • T1027 — Defense Evasion: Obfuscated Files or Information;
  • T1557 — (как указано в отчёте) — получение/манипуляция учётными данными;
  • T1567 — Exfiltration over Web Service — использование веб-сервисов для вывода данных.

Рекомендации по защите для организаций

Адаптивность BlackForce подчёркивает необходимость многоуровневой стратегии защиты. Рекомендуемые меры:

  • Внедрять принципы архитектуры «нулевого доверия» — минимизация прав, сегментация сети, проверка каждого запроса;
  • Использовать phishing-resistant MFA (например, FIDO2 / аппаратные ключи) вместо только SMS/OTP, поскольку MitB может перехватывать некоторые формы MFA;
  • Реализовать поведенческий EDR и анализ браузерных сессий для обнаружения аномалий sessionStorage и необычных JavaScript-представлений;
  • Ограничить исходящие соединения и контролировать доступ к внешним веб-сервисам; блокировать подозрительные домены и IP, связанные с C2 и эксфильтрацией;
  • Обновлять сигнатуры и правила детекции, включая анализ User-Agent и похожих артефактов, но учитывать возможности злоумышленников по их подделке;
  • Повышать устойчивость сотрудников к фишингу через регулярное обучение и фишинг-симуляции;
  • Делиться индикаторами компрометации и разведданными с секторными сообществами и поставщиками безопасности.

Вывод

BlackForce — пример современного коммерческого фишингового набора, который сочетает в себе автоматизацию, возможности управления оператором и продуманные средства обхода защиты. Быстрая эволюция версий и фокус на обходе MFA делают его серьёзной угрозой для организаций, полагающихся на традиционные механизмы аутентификации. Комплексная защита, основанная на принципах нулевого доверия, поведенческой аналитике и применении phishing-resistant MFA, остаётся ключевой линией обороны.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: