Blacksite и Cloaked.gg: фишинг обходит MFA и сканеры

Теневой тандем: как Blacksite и Cloaked.gg переписывают правила фишинга

Исследователи кибербезопасности выявили новый фишинговый набор для атак «человек посередине» (AiTM) — Blacksite. Его ключевая особенность — глубокая интеграция со службой маскировки Cloaked.gg, позволяющая обходить автоматизированные системы анализа URL. Симбиоз двух инструментов создает опасный сценарий: сканеры безопасности видят безобидный контент, в то время как реальные жертвы незаметно перенаправляются на действующие фишинговые страницы. Такой подход радикально повышает шансы на успешную компрометацию даже хорошо защищенных учетных записей.

Blacksite: AiTM по цене подписки

Главная техническая изюминка Blacksite — работа в качестве обратного прокси-сервера. Набор инструментов перехватывает легитимный трафик между жертвой и целевым сервисом в реальном времени, извлекая критически важные элементы:

  • аутентификационные токены;
  • сеансовые файлы cookie;
  • одноразовые коды двухфакторной аутентификации (2FA).

Завладев этими данными, злоумышленники мгновенно получают контроль над сессией и обходят многофакторную аутентификацию (MFA). Такая функциональность делает Blacksite эффективным инструментом для масштабных фишинговых кампаний. При этом стоимость набора составляет от $600 до $1000 в месяц — сумма, которая стирает входной барьер для менее квалифицированных преступников, давая им возможность проводить продвинутые атаки с захватом учетных записей. Дополнительную угрозу представляет способность зеркалировать банковские порталы и корпоративные системы единого входа (SSO), открывая путь к глубокому проникновению в чувствительные корпоративные среды.

Cloaked.gg: маскировка URL как услуга

Интеграция с Cloaked.gg выводит уклонение от обнаружения на принципиально новый уровень. Служба анализирует входящие запросы и блокирует трафик, характерный для автоматизированных сканеров:

  • подключения через VPN;
  • proxy-серверы;
  • запросы из data centers.

Обнаружив подозрительный шаблон, Cloaked.gg возвращает безобидную информацию, создавая иллюзию безопасности проверяемого URL. В то же время обычные пользователи, не попавшие под фильтры, незаметно направляются на реальную фишинговую страницу. В результате системы мониторинга могут неделями фиксировать ресурс как безопасный, пока жертвы один за другим передают свои учетные данные злоумышленникам.

Вывод: сложное уклонение становится массовым

Связка Blacksite и Cloaked.gg демонстрирует тревожную трансформацию ландшафта угроз. Обход URL-сканирования — еще недавно процесс, требовавший глубоких технических знаний, — превратился в доступную коммерческую услугу. Эта тенденция размывает границы между элитными кибергруппировками и массовой киберпреступностью, ставя под удар организации любого масштаба. Специалистам по безопасности необходимо пересматривать подходы к детектированию фишинга, осознавая, что визуальная чистота URL больше не гарантирует отсутствия атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: