Заплати 200 евро и взломай Netflix. В Telegram торгуют «убийцей» двухфакторной аутентификации

С начала августа 2025 года специалисты Zscaler наблюдают распространение нового набора для фишинга под названием BlackForce. За короткий период было выявлено как минимум пять различных версий этого инструмента. BlackForce сочетает кражу учётных данных с атаками Man-in-the-Browser, что позволяет обойти двухфакторную аутентификацию в реальном времени. Комплект продаётся в Telegram по цене от 200 до 300 евро и активно обновляется.

BlackForce уже используется для имитации более чем 11 популярных брендов, включая Disney, Netflix, DHL и UPS. Основное внимание в его конструкции уделено обходу защитных механизмов и устойчивости атаки к сбоям. Так, начиная с четвёртой версии, разработчики внедрили систему сохранения данных сеанса в браузере, что делает процесс атаки более стабильным — введённые жертвой данные сохраняются даже при обновлении страницы.

Особенностью BlackForce стала архитектура с разделением каналов — фишинговый сервер изолирован от Telegram-канала, куда отправляется украденная информация. Такое решение позволяет сохранить доступ к данным, даже если сам фишинговый сайт будет отключён.

Цепочка атаки начинается с того, что жертва переходит по вредоносной ссылке и попадает на поддельную страницу. На этом этапе применяется фильтрация по IP-адресу и User-Agent, чтобы исключить попадание на сайт сканеров и систем безопасности. После «проверки» пользователь видит визуально достоверную копию настоящего ресурса, куда вводит свои данные. Эта информация немедленно передаётся оператору, который получает уведомление о «живой» сессии. Затем начинается второй этап атаки — перехват одноразового кода MFA.

Для обхода двухфакторной аутентификации используется внедрение ложной страницы подтверждения, через которую злоумышленник получает MFA-код. После этого становится возможной полная компрометация учётной записи. В некоторых случаях атака завершается редиректом на настоящий сайт, чтобы не вызвать подозрений у жертвы.

С точки зрения технической реализации BlackForce активно использует фреймворки React и React Router, что помогает маскировать вредоносный код под финальную версию сайта. В более поздних версиях также внедрена обфускация JavaScript-кода, что усложняет анализ и обнаружение.

Серверная часть BlackForce настраивается через специальную панель, предоставляющую операторам широкий функционал: от управления сеансами до настройки фильтрации по странам, провайдерам и пользовательским агентам. В четвёртой версии была введена политика «только для мобильных», а в пятой — усовершенствована система фильтрации и добавлены меры против анализа со стороны автоматических инструментов.

Разработка BlackForce не стоит на месте. Частые обновления, переход к гибридной архитектуре и внедрение средств устойчивого хранения данных указывают на то, что его создатели активно адаптируют инструмент под защитные меры и стремятся повысить его эффективность. Такие решения создают дополнительные сложности для выявления фишинга и требуют от организаций постоянного пересмотра стратегий защиты, в том числе перехода к архитектуре с нулевым доверием.