Заплати 200 евро и взломай Netflix. В Telegram торгуют «убийцей» двухфакторной аутентификации
NewsMakerИБ-специалисты бьют тревогу из-за нового тренда на теневом рынке.
С начала августа 2025 года специалисты Zscaler наблюдают распространение нового набора для фишинга под названием BlackForce. За короткий период было выявлено как минимум пять различных версий этого инструмента. BlackForce сочетает кражу учётных данных с атаками Man-in-the-Browser, что позволяет обойти двухфакторную аутентификацию в реальном времени. Комплект продаётся в Telegram по цене от 200 до 300 евро и активно обновляется.
BlackForce уже используется для имитации более чем 11 популярных брендов, включая Disney, Netflix, DHL и UPS. Основное внимание в его конструкции уделено обходу защитных механизмов и устойчивости атаки к сбоям. Так, начиная с четвёртой версии, разработчики внедрили систему сохранения данных сеанса в браузере, что делает процесс атаки более стабильным — введённые жертвой данные сохраняются даже при обновлении страницы.
Особенностью BlackForce стала архитектура с разделением каналов — фишинговый сервер изолирован от Telegram-канала, куда отправляется украденная информация. Такое решение позволяет сохранить доступ к данным, даже если сам фишинговый сайт будет отключён.
Цепочка атаки начинается с того, что жертва переходит по вредоносной ссылке и попадает на поддельную страницу. На этом этапе применяется фильтрация по IP-адресу и User-Agent, чтобы исключить попадание на сайт сканеров и систем безопасности. После «проверки» пользователь видит визуально достоверную копию настоящего ресурса, куда вводит свои данные. Эта информация немедленно передаётся оператору, который получает уведомление о «живой» сессии. Затем начинается второй этап атаки — перехват одноразового кода MFA.
С начала августа 2025 года специалисты Zscaler наблюдают распространение нового набора для фишинга под названием BlackForce. За короткий период было выявлено как минимум пять различных версий этого инструмента. BlackForce сочетает кражу учётных данных с атаками Man-in-the-Browser, что позволяет обойти двухфакторную аутентификацию в реальном времени. Комплект продаётся в Telegram по цене от 200 до 300 евро и активно обновляется.
BlackForce уже используется для имитации более чем 11 популярных брендов, включая Disney, Netflix, DHL и UPS. Основное внимание в его конструкции уделено обходу защитных механизмов и устойчивости атаки к сбоям. Так, начиная с четвёртой версии, разработчики внедрили систему сохранения данных сеанса в браузере, что делает процесс атаки более стабильным — введённые жертвой данные сохраняются даже при обновлении страницы.
Особенностью BlackForce стала архитектура с разделением каналов — фишинговый сервер изолирован от Telegram-канала, куда отправляется украденная информация. Такое решение позволяет сохранить доступ к данным, даже если сам фишинговый сайт будет отключён.
Цепочка атаки начинается с того, что жертва переходит по вредоносной ссылке и попадает на поддельную страницу. На этом этапе применяется фильтрация по IP-адресу и User-Agent, чтобы исключить попадание на сайт сканеров и систем безопасности. После «проверки» пользователь видит визуально достоверную копию настоящего ресурса, куда вводит свои данные. Эта информация немедленно передаётся оператору, который получает уведомление о «живой» сессии. Затем начинается второй этап атаки — перехват одноразового кода MFA.