Yeni BlackForce Kimlik Avı Kiti, Saldırganların MitB Saldırılarını Kullanarak Kimlik Bilgilerini Çalmasına ve MFA’yı Atlamasına Olanak Sağlıyor

BlackForce adı verilen gelişmiş bir kimlik avı aracı, dünya çapındaki kuruluşlar için ciddi bir tehdit olarak ortaya çıktı.

İlk kez Ağustos 2025’te gözlemlenen bu profesyonel düzeydeki kit, suçluların gelişmiş Tarayıcıdaki Adam tekniklerini kullanarak oturum açma bilgilerini çalmasına ve çok faktörlü kimlik doğrulamayı atlamasına olanak tanıyor.

Araç, Telegram forumlarında aktif olarak 200 ila 300 avro arasında satılıyor ve bu da onu çok çeşitli tehdit aktörlerinin erişimine açık hale getiriyor.

BlackForce halihazırda Disney, Netflix, DHL ve UPS gibi büyük markaları hedeflemek için kullanılıyor ve gerçek dünyadaki saldırılarda etkinliğini gösteriyor.

Kimlik avı kiti, kimlik bilgileri hırsızlığı yeteneklerinde önemli bir gelişmeyi temsil ediyor. BlackForce’u özellikle tehlikeli kılan şey, saldırganların kurbanlar ve yasal web siteleri arasındaki iletişimleri gerçek zamanlı olarak ele geçirmesine ve manipüle etmesine olanak tanıyan Tarayıcıdaki Adam saldırılarını gerçekleştirme yeteneğidir.

Bu teknik, suçluların kurbanların SMS, e-posta veya kimlik doğrulama uygulamaları aracılığıyla aldığı tek seferlik kimlik doğrulama kodlarını yakalamasına olanak tanıyarak, çok faktörlü kimlik doğrulamayı etkili bir şekilde işe yaramaz hale getiriyor.

BlackForce’un en az beş farklı versiyonunun belgelenmesi, saldırganların araçlarını sürekli olarak geliştirdiklerini gösteriyor.

Zscaler güvenlik analistleri, kimlik avı kampanyalarında şüpheli modeller keşfettikten sonra BlackForce kimlik avı kitini tanımladı ve analiz etti.

Araştırmacılar, kötü amaçlı alan adlarının, tarayıcıları en son kötü amaçlı kodu indirmeye zorlamak için önbellek bozan karmalara sahip JavaScript dosyalarını kullandığını buldu.

Özellikle kötü amaçlı JavaScript’in yüzde 99’undan fazlası meşru React ve React Router kodundan oluşuyor ve bu da araca ilk tespitten kaçmasına yardımcı olan meşru bir görünüm kazandırıyor.

Gelişmiş MitB Saldırı Mekanizması

BlackForce’un temel gücü, gelişmiş çok aşamalı saldırı zincirinde yatmaktadır. Bir kurban bir kimlik avı bağlantısını tıkladığında, çıplak gözle orijinal görünen, yasal görünen bir giriş sayfasıyla karşılaşır.

Saldırgan, kimlik bilgilerini girdikten sonra komuta ve kontrol paneli aracılığıyla anında gerçek zamanlı bir uyarı alıyor ve çalınan bilgilerin bulunduğu Telegram kanalına erişim sağlıyor.

Saldırgan daha sonra kimlik bilgilerini kullanarak gerçek hizmette oturum açar ve MFA kimlik doğrulama istemini tetikler.

Burada BlackForce, sahte bir MFA sayfasını doğrudan kurbanın tarayıcısına yerleştirerek teknik becerisini gösteriyor.

Kurban, kimlik doğrulama kodunu bilmeden bu sahte sayfaya girer ve bu kod, saldırgan tarafından anında yakalanır ve hesabın ele geçirilmesini tamamlamak için kullanılır.

BlackForce’un daha yeni sürümleri, sayfa yeniden yüklemelerinde durumu korumak için oturum depolamayı kullanır ve bu da saldırıları daha dayanıklı hale getirir.

Araç ayrıca, Kullanıcı Aracısı ayrıştırma ve İSS engelleme listelerini kullanan güvenlik araştırmacılarını ve otomatik tarayıcıları engelleyen güçlü analiz önleme filtreleri de uygular.

Kuruluşlar, bu tür karmaşık saldırılardan kaynaklanan hasarı en aza indirmek için sıfır güven güvenlik mimarilerini uygulamalıdır.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.