BlackForce è un kit di phishing-as-a-service in rapida evoluzione che sfrutta tecniche Man in the Browser per aggirare l’MFA ed esfiltrare credenziali e codici OTP in tempo reale.
Autore: Redazione SecurityOpenLab
Si chiama BlackForce il kit di phishing di nuova generazione progettato per aggirare in tempo reale l’autenticazione a più fattori, così da agevolare il furto di credenziali e di codici OTP tramite attacchi man-in-the-browser. Il rischio principale è il completo takeover degli account online, inclusi i servizi di streaming, ecommerce, banking e piattaforme cloud, con potenziali impatti economici diretti sulle vittime e danni significativi per i brand impersonati. Il kit in questione viene commercializzato su Telegram a prezzi compresi fra 200 e 300 euro, il che lo rende accessibile a un’ampia platea di cybercriminali, anche con basse competenze tecniche.
A scoprire e monitorare questa new entry sono stati i ricercatori del ThreatLabz, il team di ricerca di Zscaler, che è sulle tracce di BlackForce da inizio agosto 2025 e di cui ne ha già analizzate almeno cinque versioni, rilasciate in rapida successione. È proprio la velocità con cui il kit evolve a indicare un processo di sviluppo attivo, mirato al bypass dei controlli di sicurezza e all’ottenimento di una maggiore resilienza dell’infrastruttura malevola. Inoltre, nell’attività di monitoraggio il kit ha impersonato oltre undici brand noti, tra cui colossi dell’intrattenimento come Disney e Netflix e operatori di logistica come DHL e UPS, di cui ha sfruttato contesti di pagamento, rinnovo degli abbonamenti e tracciamento delle spedizioni per estorcere alle vittime credenziali e/o dati sensibili.
BlackForce fa inequivocabilmente parte delle offerte di kit pronti all’uso di tipo phishing-as-a-service. L’affiliato che acquista il toolkit ottiene accesso a un’infrastruttura web completa, dotata di pannello di comando e controllo (C2), di moduli anti-analysis per aggirare la detection, dell’integrazione con Telegram per l’esfiltrazione dei dati e di template di pagine di phishing che riproducono con estrema fedeltà i portali legittimi dei brand imitati.
Gli esperti di ThreatLabz hanno scoperto BlackForce analizzando campagne di phishing che presentavano un pattern ricorrente nell’uso di file JavaScript con hash di cache-busting nel nome. Si tratta di un tipo di nomenclatura comune negli ambienti di sviluppo professionale, dove vengono usati hash per forzare il browser a scaricare sempre la versione più recente del file. L’impiego di questa tecnica ha suggerito agli analisti la volontà di mimetizzarsi con applicazioni web legittime e di mascherare un attacco dietro a una struttura apparentemente standard.
Il sospetto è diventato realtà con l’analisi del file JavaScript usato come entry point: oltre il 99% del contenuto era costituito da build di produzione di React e React Router, che sono librerie ampiamente utilizzate nello sviluppo front-end moderno. Il codice malevolo era diluito in un blocco ampio di componenti legittimi, così da abbassare le possibilità di essere rilevato con un’analisi statica superficiale.
Come capita sempre più di frequente con gli attacchi moderni, la catena di attacco di BlackForce si sviluppa attraverso più fasi. Tutto inizia con la vittima che clicca su un link di phishing; prima di mostrare qualsiasi contenuto, il kit legge lo User-Agent, cioè la stringa che descrive browser e dispositivo, e lo passa a una libreria basata su ua-parser-js per capire chi ha davanti. A quel punto confronta il risultato con un elenco di firme e regex costruito per riconoscere strumenti di scansione, bot dei motori di ricerca e tool SEO, in modo da bloccare sul nascere il traffico che arriva da sistemi di sicurezza automatici invece che da utenti reali. Se l’ambiente non è sospetto, viene visualizzata la pagina di phishing controllata dall’attaccante, che imita quella di un brand reale. Il pannello di comando segnala in tempo reale la presenza di una vittima attiva: l’operatore riceve un alert con la sessione live. Se il malcapitato utente inserisce le proprie credenziali, queste vengono immediatamente acquisite e inoltrate al backend del kit oltre che a un canale Telegram dedicato che ha la funzione di ridondanza.
A questo punto l’attaccante prova ad accedere al sito legittimo con username e password rubati. Se l’account è protetto da MFA, si attiva un livello di man-in-the-browser finalizzato a intercettare il secondo fattore: l’operatore invia al browser della vittima una falsa pagina di autenticazione a più fattori modellata sul brand specifico in uso, che chiede il codice ricevuto via SMS, generato da un’app o associato a un dispositivo fisico, e lo reinserisce sul sito reale completando l’accesso. Una volta terminata la compromissione, la vittima viene reindirizzata alla homepage legittima del servizio, in modo da nascondere le tracce dell’attacco e fare che non venga scoperto in tempi brevi.
Una parte vitale dell’infrastruttura di BlackForce è il modulo di networking, costruito attorno a Axios, uno dei client HTTP più diffusi in ambito JavaScript. Nella terza versione del kit sono presenti due istanze Axios lato client: una dedicata alla comunicazione con il pannello C2 e una specifica per l’invio diretto dei dati rubati al sopraccitato canale Telegram. Questa scelta crea di fatto un’architettura a doppio canale, in cui il server di phishing e il punto di raccolta finale (Telegram) risultano logicamente separati, mitigando il rischio di perdita dei dati qualora il pannello venisse smantellato o bloccato da un intervento di takedown.
Con le versioni 4 e 5, la logica dell’esfiltrazione è stata raffinata: sul lato client rimane un’unica istanza Axios principale, mentre la configurazione Telegram viene spostata sul server. In pratica, il browser della vittima invia i dati al backend BlackForce, che a sua volta li inoltra al canale Telegram impostato dall’attaccante tramite il pannello di configurazione. Questo ulteriore livello di reindirizzamento oscura la destinazione reale nel traffico generato dal browser, così da ostacolare gli strumenti di analisi.
Quella esposta non è l’unica tecnica di evasione. BlackForce integra una serie di meccanismi di evasione progettati per prolungare il tempo di vita delle campagne. Nelle versioni 4 e 5 è stata introdotta una blocklist avanzata capace di individuare con maggiore precisione scanner e crawler. Inoltre, la versione 4 applica una politica mobile-only che rifiuta i browser desktop e limita la visibilità del kit alla navigazione da smartphone. La versione 5 introduce un ulteriore rafforzamento del modello difensivo, combinando i filtri server-side con logiche di detection che verificano coerenza geografica e di rete rispetto ai profili attesi così da ridurre al minimo l’esposizione agli strumenti di sicurezza automatizzati.
Una delle evoluzioni più significative fra le versioni di BlackForce riguarda la gestione dello stato dell’attacco. Nella versione 3 le credenziali e gli altri dati sottratti vivevano solo nella memoria attiva del browser, con il risultato che un banale refresh della pagina o un errore di rete potevano interrompere la catena di attacco. Le versioni 4 e 5 introducono l’uso estensivo di sessionStorage come meccanismo di persistenza a livello di browser. In pratica il kit salva, oltre ai dati della carta di credito, un insieme completo di attributi dell’identità digitale della vittima, dalle credenziali di accesso a delle informazioni personali come nome, data di nascita, città, telefono, indirizzo e CAP. Quando viene invocata la funzione sendMessage, questi dati vengono riassemblati in un oggetto, recuperati dalla sessione e inviati verso il backend tramite il client Axios, garantendo così continuità al flusso anche in presenza di ricariche della pagina o piccoli problemi di connettività.
È chiaro che il pannello di comando e controllo di BlackForce; anche lui si è evoluto nel tempo e nella versione 5 si apprezza una console strutturata, che mette a disposizione dell’operatore una vista centralizzata delle vittime attive e degli stati delle sessioni in corso.
Nel complesso, l’insieme delle modifiche al pannello e alle procedure indica un percorso di maturazione del kit dovuto al fatto che gli autori hanno appreso dai limiti delle prime release e hanno introdotto meccanismi via via più complessi per ridurre i rischi di detection e per massimizzare la redditività delle campagne.