2025年8月上旬以降、Zscalerの研究者は、BlackForceとして知られる新たなフィッシングキットの拡散を追跡してきました。短期間のうちに、少なくとも5つの異なるバージョンのツールが確認されています。BlackForceは認証情報の窃取とMan-in-the-Browser攻撃を組み合わせ、二要素認証をリアルタイムで回避できるようにします。このキットはTelegramで200~300ユーロで販売されており、頻繁な更新を伴う活発な開発が続いています。
BlackForceはすでに、Disney、Netflix、DHL、UPSを含む11以上の著名ブランドになりすまして使用されています。その設計は、セキュリティ制御の回避と攻撃のレジリエンス維持に特に重点を置いています。第4リリースから、開発者はブラウザセッションの永続化を導入し、ページが更新されても被害者が入力したデータを保持することで攻撃の信頼性を高めました。
BlackForceの決定的な特徴は、分離チャネル型アーキテクチャです。フィッシングサーバーは、盗まれたデータを受け取るTelegramチャンネルから切り離されています。この分離により、フィッシングサイト自体がオフラインにされても、収集した情報へのアクセスを継続できます。
攻撃チェーンは、被害者が悪意のあるリンクをクリックし、偽装されたウェブページへリダイレクトされるところから始まります。この段階で、スキャナーやセキュリティシステムを遮断するために、IPアドレスおよびUser-Agentのフィルタリングが適用されます。この「審査」ステップを通過すると、被害者には正規サイトの説得力のある複製が提示され、認証情報を入力します。データは直ちにオペレーターへ転送され、オペレーターは「ライブ」セッションの通知を受け取ります。続いて第2フェーズが開始され、ワンタイムMFAコードの傍受が行われます。
多要素認証を突破するため、攻撃者はMFAトークンを取得するよう設計された偽の検証ページを注入します。入手できれば、アカウントの完全な乗っ取りが可能になります。場合によっては、疑念を招かないよう、攻撃の最後に正規サイトへリダイレクトします。
技術的観点から見ると、BlackForceはReactおよびReact Routerを広範に利用しており、悪意あるコンポーネントを洗練された本番品質のサイトの一部であるかのように偽装するのに役立っています。後期バージョンではJavaScriptの難読化も組み込まれ、解析と検知が大幅に困難になっています。
サーバー側コンポーネントは専用のコントロールパネルで管理され、セッション管理から国、ネットワークプロバイダー、User-Agentによるフィルタリングまで、オペレーターに幅広い機能を提供します。バージョン4では「モバイルのみ」ポリシーが導入され、バージョン5ではフィルタリングロジックがさらに洗練され、自動解析ツールに対する対抗策が追加されました。
BlackForceの開発が減速する兆しはありません。急速な反復、ハイブリッドアーキテクチャへの移行、そして耐障害性の高いデータ保存メカニズムの採用は、その作成者が防御策に積極的に適応し、効果を最大化しようとしていることを示しています。これらの進歩はフィッシング検知をさらに複雑化させ、ゼロトラストアーキテクチャへの移行を含め、組織がセキュリティ戦略を継続的に再評価する必要性を浮き彫りにしています。
