BlackForce: эволюция фишинга, обход MFA и MitB‑атаки
«Набор для фишинга BlackForce, идентифицированный Zscaler ThreatLabZ в августе 2025 года, быстро эволюционировал и способен проводить сложные атаки, включая методы Man-in-the-Browser (MitB), которые могут обходить Многофакторную аутентификацию (MFA).» — Zscaler ThreatLabZ
Исследование Zscaler ThreatLabZ выявило быстро адаптирующееся фишинговое решение BlackForce, которое уже распространилось в криминальных каналах и нацелено на крупные бренды. Набор продаётся в Telegram по цене от $200 до $300 и претерпел минимум пять версий, каждая из которых добавляла новые тактики для обхода механизмов обнаружения и повышения устойчивости атак.
Ключевые характеристики и вектор атаки
BlackForce реализует структурированную цепочку атак с взаимодействием человека-оператора и автоматизированных компонентов. Основные шаги атаки выглядят так:
- Идентификация целей и предварительная проверка аккаунтов;
- Вовлечение оперативного оператора для управления атакой и принятия решений;
- Точка входа — на первый взгляд безобидная HTML-страница, которая подгружает всю платформу фишинга;
- Использование JavaScript-логики с хэшами для перебора кэша и сокрытия поведения скриптов;
- Коммуникация между злоумышленником и скомпрометированной системой осуществляется через Axios;
- Панель C2 обеспечивает управление и контроль взаимодействий жертв в режиме реального времени.
Технические нововведения и механизмы устойчивости
За короткий срок разработчики BlackForce внедрили ряд улучшений, направленных на уклонение от анализа и повышение надёжности похищенных данных:
- Анти-анализ и эмуляция человека: встроенная база сигнатур проверяет строки User-Agent, выявляя автоматизированные взаимодействия и препятствуя запуску вредоносной логики на системах аналитики;
- Обход обнаружения через JavaScript: хэширование и перебор кэша помогают скрыть характерные индикаторы поведения фишинга;
- Переход к состоянию сеанса: начиная с версий 4–5 BlackForce использует sessionStorage браузера для сохранения украденных учётных данных во время выполнения сценария, что снижает риск потери данных при прерывании атаки;
- Эволюция коммуникаций: в ранних версиях было несколько экземпляров Axios для разных задач (взаимодействие с C2 и управление), позже функции были объединены, а эксфильтрация через Telegram перенесена на серверную сторону для лучшего закрепления результатов.
Почему это опасно: MitB, обход MFA и эксфильтрация
BlackForce демонстрирует набор приёмов, характерных для современных целенаправленных фишинг-кампаний:
- Man-in-the-Browser (MitB) — позволяет перехватывать и изменять взаимодействие пользователя с веб-интерфейсом, включая обход MFA в ряде сценариев;
- Использование веб-сервисов и внешних каналов для эксфильтрации данных (включая Telegram на серверной стороне) делает блокировку на уровне канала менее эффективной;
- Антидетекционные проверки User-Agent и другие меры обфускации (T1027) усложняют задачу систем защиты и автоматизированного анализа.
Соответствие MITRE ATT&CK
По классификации MITRE ATT&CK BlackForce репрезентует комбинацию техник:
- T1566 — Initial Access: Phishing;
- T1027 — Defense Evasion: Obfuscated Files or Information;
- T1557 — (как указано в отчёте) — получение/манипуляция учётными данными;
- T1567 — Exfiltration over Web Service — использование веб-сервисов для вывода данных.
Рекомендации по защите для организаций
Адаптивность BlackForce подчёркивает необходимость многоуровневой стратегии защиты. Рекомендуемые меры:
- Внедрять принципы архитектуры «нулевого доверия» — минимизация прав, сегментация сети, проверка каждого запроса;
- Использовать phishing-resistant MFA (например, FIDO2 / аппаратные ключи) вместо только SMS/OTP, поскольку MitB может перехватывать некоторые формы MFA;
- Реализовать поведенческий EDR и анализ браузерных сессий для обнаружения аномалий sessionStorage и необычных JavaScript-представлений;
- Ограничить исходящие соединения и контролировать доступ к внешним веб-сервисам; блокировать подозрительные домены и IP, связанные с C2 и эксфильтрацией;
- Обновлять сигнатуры и правила детекции, включая анализ User-Agent и похожих артефактов, но учитывать возможности злоумышленников по их подделке;
- Повышать устойчивость сотрудников к фишингу через регулярное обучение и фишинг-симуляции;
- Делиться индикаторами компрометации и разведданными с секторными сообществами и поставщиками безопасности.
Вывод
BlackForce — пример современного коммерческого фишингового набора, который сочетает в себе автоматизацию, возможности управления оператором и продуманные средства обхода защиты. Быстрая эволюция версий и фокус на обходе MFA делают его серьёзной угрозой для организаций, полагающихся на традиционные механизмы аутентификации. Комплексная защита, основанная на принципах нулевого доверия, поведенческой аналитике и применении phishing-resistant MFA, остаётся ключевой линией обороны.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



