Το νέο κιτ ψαρέματος BlackForce επιτρέπει στους επιτιθέμενους να κλέβουν διαπιστευτήρια χρησιμοποιώντας επιθέσεις MitB και παρακάμπτοντας το MFA

Ένα εξελιγμένο εργαλείο phishing που ονομάζεται BlackForce έχει αναδειχθεί ως σοβαρή απειλή για οργανισμούς σε όλο τον κόσμο.

Παρατηρήθηκε για πρώτη φορά τον Αύγουστο του 2025, αυτό το κιτ επαγγελματικής ποιότητας επιτρέπει στους εγκληματίες να κλέβουν πληροφορίες σύνδεσης και να παρακάμπτουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων χρησιμοποιώντας προηγμένες τεχνικές Man-in-the-Browser.

Το εργαλείο πωλείται ενεργά στα φόρουμ του Telegram για από 200 έως 300 ευρώ, καθιστώντας το προσβάσιμο σε ένα ευρύ φάσμα παραγόντων απειλών.

Το BlackForce έχει ήδη χρησιμοποιηθεί για τη στόχευση μεγάλων εμπορικών σημάτων, συμπεριλαμβανομένων των Disney, Netflix, DHL και UPS, αποδεικνύοντας την αποτελεσματικότητά του σε πραγματικές επιθέσεις.

Το κιτ phishing αντιπροσωπεύει μια σημαντική εξέλιξη στις δυνατότητες κλοπής διαπιστευτηρίων. Αυτό που κάνει το BlackForce ιδιαίτερα επικίνδυνο είναι η ικανότητά του να εκτελεί επιθέσεις Man-in-the-Browser, οι οποίες επιτρέπουν στους εισβολείς να παρακολουθούν και να χειραγωγούν τις επικοινωνίες μεταξύ των θυμάτων και των νόμιμων ιστοσελίδων σε πραγματικό χρόνο.

Αυτή η τεχνική επιτρέπει στους εγκληματίες να καταγράφουν κωδικούς ελέγχου ταυτότητας μιας χρήσης που λαμβάνουν τα θύματα μέσω SMS, email ή εφαρμογών ελέγχου ταυτότητας, καθιστώντας ουσιαστικά άχρηστο τον έλεγχο ταυτότητας πολλαπλών παραγόντων.

Τουλάχιστον πέντε διαφορετικές εκδόσεις του BlackForce έχουν τεκμηριωθεί, υποδηλώνοντας ότι οι εισβολείς βελτιώνουν συνεχώς το εργαλείο τους.

Αναλυτές ασφαλείας Zscaler αναγνωρισθείς και ανέλυσε το κιτ phishing της BlackForce αφού ανακάλυψε ύποπτα μοτίβα σε καμπάνιες phishing.

Οι ερευνητές διαπίστωσαν ότι οι κακόβουλοι τομείς χρησιμοποιούσαν αρχεία JavaScript με κατακερματισμούς που καταστρέφουν την κρυφή μνήμη για να αναγκάσουν τα προγράμματα περιήγησης να κατεβάσουν τον πιο πρόσφατο κακόβουλο κώδικα.

Συγκεκριμένα, πάνω από το 99 τοις εκατό του κακόβουλου JavaScript αποτελείται από νόμιμο κώδικα React και React Router, δίνοντας στο εργαλείο μια νόμιμη εμφάνιση που το βοηθά να αποφύγει τον αρχικό εντοπισμό.

Προηγμένος Μηχανισμός Επίθεσης MitB

Η βασική δύναμη της BlackForce βρίσκεται στην εξελιγμένη αλυσίδα επίθεσης πολλών σταδίων. Όταν ένα θύμα κάνει κλικ σε έναν σύνδεσμο ηλεκτρονικού “ψαρέματος” (phishing), συναντά μια σελίδα σύνδεσης με νόμιμη εμφάνιση που φαίνεται αυθεντική με γυμνό μάτι.

Μόλις εισαγάγουν τα διαπιστευτήριά τους, ο εισβολέας λαμβάνει αμέσως μια ειδοποίηση σε πραγματικό χρόνο μέσω ενός πίνακα εντολών και ελέγχου και αποκτά πρόσβαση σε ένα κανάλι Telegram με τις κλεμμένες πληροφορίες.

Στη συνέχεια, ο εισβολέας χρησιμοποιεί τα διαπιστευτήρια για να συνδεθεί στην πραγματική υπηρεσία, ενεργοποιώντας την προτροπή ελέγχου ταυτότητας MFA.

Εδώ, η BlackForce επιδεικνύει την τεχνική της ικανότητα αναπτύσσοντας μια ψεύτικη σελίδα MFA απευθείας στο πρόγραμμα περιήγησης του θύματος.

Το θύμα εισάγει εν αγνοία του τον κωδικό επαλήθευσης ταυτότητας σε αυτήν τη δόλια σελίδα, η οποία καταγράφεται αμέσως από τον εισβολέα και χρησιμοποιείται για την ολοκλήρωση της κατάληψης του λογαριασμού.

Οι νεότερες εκδόσεις του BlackForce χρησιμοποιούν χώρο αποθήκευσης περιόδου λειτουργίας για να διατηρήσουν την κατάσταση σε όλες τις επαναφορτώσεις σελίδων, κάνοντας τις επιθέσεις πιο ανθεκτικές.

Το εργαλείο εφαρμόζει επίσης ισχυρά φίλτρα κατά της ανάλυσης που μπλοκάρουν τους ερευνητές ασφαλείας και τους αυτοματοποιημένους σαρωτές χρησιμοποιώντας λίστες αποκλεισμού User-Agent parsing και ISP.

Οι οργανισμοί θα πρέπει να εφαρμόσουν αρχιτεκτονικές ασφάλειας μηδενικής εμπιστοσύνης για να ελαχιστοποιήσουν τη ζημιά από τέτοιες περίπλοκες επιθέσεις.