一款名为BlackForce的精密钓鱼工具包已出现,正对全球各类机构构成严重威胁。
该工具包于 2025 年 8 月首次被监测到,属于专业级恶意工具,犯罪分子可借助它,利用先进的浏览器中间人攻击(Man-in-the-Browser)技术窃取登录信息,并绕过多因素认证(MFA)机制。
目前,这款工具包正于电报(Telegram)论坛上售卖,售价区间为 200 至 300 欧元,这一价格门槛使其能够被各类威胁攻击者轻松获取。
BlackForce 已被用于针对迪士尼、网飞、敦豪速递及联合包裹等大型企业开展攻击,充分印证了其在真实攻击场景中的有效性。
这款钓鱼工具包标志着凭证窃取技术实现了重大升级。其危害性之所以尤为突出,核心在于它能够发起浏览器中间人攻击—— 攻击者可通过该技术实时拦截并篡改受害者浏览器与正规网站之间的通信数据。
借助这种技术,犯罪分子能够截获受害者通过短信、邮件或认证器应用收到的一次性验证码,进而直接导致多因素认证机制彻底失效。
经记录,BlackForce 至少已有五个不同版本,这一现象表明攻击者正在持续对该工具包进行迭代优化。
Zscaler 安全分析师在钓鱼攻击行动中发现异常攻击模式后,随即对 BlackForce 钓鱼工具包展开了识别与分析工作。
研究人员发现,攻击者使用的恶意域名会搭载带有缓存清除哈希值的 JavaScript 文件,以此强制浏览器下载最新的恶意代码。
值得注意的是,这款恶意 JavaScript 文件中,超过 99% 的代码内容都源自合法的 React 与 React Router 框架代码。这一特性让工具包具备了合规程序的外在特征,助力其规避首轮安全检测。
高级浏览器中间人攻击机制
BlackForce 的核心优势,在于其设计精密的多阶段攻击链路。当受害者点击钓鱼链接后,会看到一个外观足以乱真的仿冒登录页面。
一旦受害者输入个人登录凭证,攻击者会立即通过命令与控制(C2)面板收到实时告警,被盗的信息会同步推送至一个专属电报频道。
随后,攻击者会使用窃取到的凭证登录真实的服务平台,触发多因素认证验证请求。
就在这个关键节点,BlackForce 的技术优势得以凸显 —— 它会直接在受害者的浏览器中植入一个伪造的多因素认证页面。
受害者会在毫无察觉的情况下,将个人验证码输入这个钓鱼页面。攻击者会实时捕获该验证码,并随即利用它完成对受害者账号的完全接管。
BlackForce 的较新版本还引入了会话存储(session storage)功能,以此在页面刷新后维持攻击状态,大幅提升了攻击的稳定性与持续性。
该工具包还内置了功能完善的反分析过滤机制,可通过解析用户代理(User-Agent)信息与调用互联网服务提供商(ISP)黑名单,拦截安全研究人员的分析操作与各类自动化扫描工具的检测。
研究人员建议,各类机构应尽快部署零信任安全架构,以此降低这类高级攻击可能造成的危害。
发表评论
您还未登录,请先登录。
登录