BlackForce: kit de phishing MitB que rouba credenciais e contorna MFA
Introdução
Pesquisadores identificaram um kit de phishing profissional, chamado BlackForce, que combina técnicas de Man‑in‑the‑Browser (MitB) com páginas legítimas em React para capturar credenciais e códigos de autenticação em tempo real.
Descoberta e escopo / O que mudou agora
Analistas da Zscaler detectaram a infraestrutura e analisaram amostras após observar padrões suspeitos em campanhas de phishing. O BlackForce foi observado pela primeira vez em agosto de 2025 e, desde então, evoluiu para pelo menos cinco versões distintas, segundo o relatório investigado pela Cyber Security News.
O kit está disponível comercialmente em fóruns no Telegram por preços reportados entre 200 e 300 euros, o que o torna acessível a atores variados. Campanhas documentadas usaram alvos de grande visibilidade, incluindo marcas como Disney, Netflix, DHL e UPS.
Vetor e exploração / Como o ataque funciona
O BlackForce entrega páginas de login que aparentam ser legítimas e executa JavaScript malicioso no contexto do navegador da vítima. Mais de 99% do código JavaScript usado nos domínios maliciosos é baseado em bibliotecas legítimas como React e React Router, o que ajuda a disfarçar a presença do kit.
Ao inserir credenciais, o atacante recebe alertas em tempo real por meio de um painel de comando e controle e expõe os dados via canais no Telegram. Em seguida, quando o invasor tenta autenticar no serviço legítimo, o kit injeta uma página falsa de MFA no navegador da vítima — capturando o código de autenticação quando este é digitado e permitindo a tomada imediata da sessão.
Versões mais recentes do BlackForce usam armazenamento de sessão para manter estado através de recarregamentos e implementam filtros anti‑análise, como parsing de User‑Agent e blocklists de ISPs, para dificultar a detecção por pesquisadores e scanners automatizados.
Impacto e alcance / Setores afetados
O uso de técnicas MitB e de injeção de páginas MFA torna o kit especialmente perigoso para serviços que dependem de códigos de uso único enviados por SMS, e‑mail ou apps autenticadores. A combinação economia de escala (preço acessível) + eficácia prática (capacidade de contornar MFA) amplia o alcance potencial, afetando tanto consumidores quanto empresas com embalagens de login expostas na web.
Não há indicação pública de comprometimento massivo de infraestrutura crítica; os casos relatados mostram foco em credenciais de serviços online de consumo e logística.
Mitigações
- Adotar arquitetura de confiança zero (zero‑trust) para reduzir impacto de credenciais comprometidas;
- Adicionar proteção anti‑phishing baseada em comportamento nos gateways de e‑mail e nas soluções de proxy web, que busquem alterações em páginas MFA e scripts injetados em tempo de execução;
- Incentivar o uso de fatores de autenticação resistentes a MitM (por exemplo, FIDO2/passkeys) em vez de códigos enviados por SMS ou inseridos manualmente;
- Monitorar sinais de automatização e de domínios que servem assets JavaScript com cache‑busting hashes, além de bloquear canais conhecidos de exfiltração (como bots Telegram usados por operadores).
Limites das informações / O que falta saber
Os relatórios públicos descrevem o funcionamento técnico e amostras analisadas, mas não há dados abertos sobre quantas contas foram efetivamente comprometidas ou sobre operações de extorsão ou vendas dos dados exfiltrados. Também não há lista pública completa de todos os domínios usados pelos autores.
Repercussão / Próximos passos
Organizações de segurança e equipes de resposta devem priorizar detecção de padrões de MitB e reforçar campanhas de conscientização contra phishing voltadas a MFA. Fornecedores de identidade e serviços online precisam avaliar a migração para autenticação resistente a interceptação e revisar fluxos de login que permitam inserção de páginas em contexto do navegador.
Fonte: análise técnica e identificações divulgadas pela Zscaler e cobertura pela Cyber Security News.