Blacksite и Cloaked.gg: фишинг обходит MFA и сканеры
Теневой тандем: как Blacksite и Cloaked.gg переписывают правила фишинга
Исследователи кибербезопасности выявили новый фишинговый набор для атак «человек посередине» (AiTM) — Blacksite. Его ключевая особенность — глубокая интеграция со службой маскировки Cloaked.gg, позволяющая обходить автоматизированные системы анализа URL. Симбиоз двух инструментов создает опасный сценарий: сканеры безопасности видят безобидный контент, в то время как реальные жертвы незаметно перенаправляются на действующие фишинговые страницы. Такой подход радикально повышает шансы на успешную компрометацию даже хорошо защищенных учетных записей.
Blacksite: AiTM по цене подписки
Главная техническая изюминка Blacksite — работа в качестве обратного прокси-сервера. Набор инструментов перехватывает легитимный трафик между жертвой и целевым сервисом в реальном времени, извлекая критически важные элементы:
- аутентификационные токены;
- сеансовые файлы cookie;
- одноразовые коды двухфакторной аутентификации (2FA).
Завладев этими данными, злоумышленники мгновенно получают контроль над сессией и обходят многофакторную аутентификацию (MFA). Такая функциональность делает Blacksite эффективным инструментом для масштабных фишинговых кампаний. При этом стоимость набора составляет от $600 до $1000 в месяц — сумма, которая стирает входной барьер для менее квалифицированных преступников, давая им возможность проводить продвинутые атаки с захватом учетных записей. Дополнительную угрозу представляет способность зеркалировать банковские порталы и корпоративные системы единого входа (SSO), открывая путь к глубокому проникновению в чувствительные корпоративные среды.
Cloaked.gg: маскировка URL как услуга
Интеграция с Cloaked.gg выводит уклонение от обнаружения на принципиально новый уровень. Служба анализирует входящие запросы и блокирует трафик, характерный для автоматизированных сканеров:
- подключения через VPN;
- proxy-серверы;
- запросы из data centers.
Обнаружив подозрительный шаблон, Cloaked.gg возвращает безобидную информацию, создавая иллюзию безопасности проверяемого URL. В то же время обычные пользователи, не попавшие под фильтры, незаметно направляются на реальную фишинговую страницу. В результате системы мониторинга могут неделями фиксировать ресурс как безопасный, пока жертвы один за другим передают свои учетные данные злоумышленникам.
Вывод: сложное уклонение становится массовым
Связка Blacksite и Cloaked.gg демонстрирует тревожную трансформацию ландшафта угроз. Обход URL-сканирования — еще недавно процесс, требовавший глубоких технических знаний, — превратился в доступную коммерческую услугу. Эта тенденция размывает границы между элитными кибергруппировками и массовой киберпреступностью, ставя под удар организации любого масштаба. Специалистам по безопасности необходимо пересматривать подходы к детектированию фишинга, осознавая, что визуальная чистота URL больше не гарантирует отсутствия атаки.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



