BlackForce Phishing Kit: Nguy Hiểm Vượt Qua MFA Hiệu Quả

BlackForce, một phishing kit tinh vi, đã xuất hiện như một mối đe dọa mạng nghiêm trọng đối với các tổ chức trên toàn cầu. Được phát hiện lần đầu vào tháng 8 năm 2025, công cụ chuyên nghiệp này cho phép tội phạm đánh cắp thông tin đăng nhập và vượt qua xác thực đa yếu tố (MFA).

BlackForce sử dụng các kỹ thuật Man-in-the-Browser (MitB) tiên tiến để đạt được mục tiêu này. Công cụ này đang được rao bán tích cực trên các diễn đàn Telegram với mức giá từ 200 đến 300 Euro, giúp nó dễ tiếp cận với nhiều tác nhân đe dọa.

Tổng Quan về BlackForce Phishing Kit

BlackForce đã được sử dụng để nhắm mục tiêu vào các thương hiệu lớn như Disney, Netflix, DHL và UPS. Điều này chứng tỏ hiệu quả của nó trong các cuộc tấn công mạng thực tế.

Phishing kit này đại diện cho một sự phát triển đáng kể trong khả năng đánh cắp thông tin xác thực. Khả năng thực hiện các cuộc tấn công MitB làm cho BlackForce trở nên đặc biệt nguy hiểm.

Tấn công MitB cho phép kẻ tấn công chặn và thao túng các giao tiếp giữa nạn nhân và các trang web hợp pháp trong thời gian thực. Kỹ thuật này giúp tội phạm thu thập các mã xác thực một lần mà nạn nhân nhận được qua SMS, email hoặc ứng dụng xác thực.

Thông qua đó, hệ thống xác thực đa yếu tố gần như bị vô hiệu hóa. Ít nhất năm phiên bản riêng biệt của BlackForce đã được ghi nhận, cho thấy các tác nhân tấn công liên tục cải tiến công cụ của họ.

Kỹ Thuật Man-in-the-Browser và Vượt Qua MFA

Cơ chế hoạt động của BlackForce tập trung vào việc tạo ra một lớp phủ độc hại trên trình duyệt của nạn nhân. Lớp phủ này cho phép kẻ tấn công thay đổi nội dung trang web, chèn các trường nhập liệu giả mạo hoặc chặn dữ liệu.

Khi nạn nhân truy cập một trang web bị nhắm mục tiêu, BlackForce sẽ kích hoạt mã độc để kiểm soát phiên trình duyệt. Điều này xảy ra mà không cần thay đổi địa chỉ URL hoặc chứng chỉ bảo mật của trang web thực.

Kỹ thuật MitB cho phép BlackForce duy trì quyền kiểm soát trong suốt quá trình xác thực. Ngay cả khi nạn nhân nhận được mã OTP (One-Time Password) qua các kênh bảo mật, BlackForce vẫn có thể chặn và chuyển tiếp mã này.

Mã OTP, được gửi qua SMS, email hoặc ứng dụng xác thực, thường được coi là một biện pháp bảo mật mạnh mẽ. Tuy nhiên, BlackForce bỏ qua lớp bảo vệ này bằng cách thao túng dữ liệu tại điểm nhập.

Việc này khiến nạn nhân nhập mã vào một giao diện được kiểm soát bởi kẻ tấn công. Sau đó, mã này được chuyển tiếp ngay lập tức để hoàn tất quá trình đăng nhập của kẻ tấn công vào tài khoản thật của nạn nhân.

Cấu Trúc Kỹ Thuật và Khả Năng Né Tránh Phát Hiện

Các nhà phân tích bảo mật của Zscaler đã xác định và phân tích BlackForce phishing kit sau khi phát hiện các mẫu đáng ngờ trong các chiến dịch lừa đảo. Zscaler đã cung cấp một phân tích kỹ thuật chi tiết về công cụ này.

Các nhà nghiên cứu phát hiện rằng các miền độc hại sử dụng các tệp JavaScript với các hàm băm cache-busting. Kỹ thuật này buộc các trình duyệt phải tải xuống mã độc mới nhất, đảm bảo kẻ tấn công luôn sử dụng phiên bản cập nhật nhất.

Đặc biệt, hơn 99% mã JavaScript độc hại bao gồm mã React và React Router hợp pháp. Điều này giúp công cụ có một giao diện hợp pháp, khó bị phát hiện ban đầu bởi các hệ thống bảo mật tự động.

Việc sử dụng mã thư viện phổ biến giúp BlackForce hòa trộn vào môi trường web thông thường. Điều này gây khó khăn cho các công cụ phân tích để phân biệt giữa mã hợp pháp và mã độc hại.

Các phiên bản mới hơn của BlackForce còn sử dụng session storage để duy trì trạng thái qua các lần tải lại trang. Điều này làm cho các cuộc tấn công trở nên bền bỉ và khó bị gián đoạn hơn.

Chuỗi Tấn Công Đa Giai Đoạn của BlackForce

Sức mạnh cốt lõi của BlackForce nằm ở chuỗi tấn công đa giai đoạn tinh vi của nó. Khi một nạn nhân nhấp vào một liên kết phishing, họ sẽ gặp một trang đăng nhập trông hợp pháp.

Trang này xuất hiện hoàn toàn giống với trang web thật, khiến nạn nhân không hề nghi ngờ. Khi nạn nhân nhập thông tin đăng nhập của mình, kẻ tấn công ngay lập tức nhận được cảnh báo theo thời gian thực.

Cảnh báo này được gửi qua bảng điều khiển command-and-control (C2) và truy cập vào một kênh Telegram chứa thông tin bị đánh cắp. Điều này cho phép kẻ tấn công phản ứng nhanh chóng với việc nạn nhân nhập dữ liệu.

Tiếp theo, kẻ tấn công sử dụng thông tin đăng nhập đã đánh cắp để đăng nhập vào dịch vụ thực. Hành động này kích hoạt lời nhắc xác thực MFA từ dịch vụ hợp pháp.

Tại đây, BlackForce thể hiện khả năng kỹ thuật của mình bằng cách triển khai một trang MFA giả mạo trực tiếp vào trình duyệt của nạn nhân. Trang này được thiết kế để trông hoàn toàn giống với trang MFA thực.

Nạn nhân không hề hay biết rằng mình đang nhập mã xác thực vào trang lừa đảo này. Mã này ngay lập tức bị kẻ tấn công thu thập và sử dụng để hoàn tất việc chiếm đoạt tài khoản.

Toàn bộ quá trình diễn ra nhanh chóng, khiến nạn nhân khó nhận ra sự bất thường. Sự liền mạch giữa trang đăng nhập giả mạo và trang MFA giả mạo là yếu tố then chốt cho sự thành công của BlackForce phishing kit.

Các Biện Pháp Chống Phân Tích và Phòng Ngừa Hiệu Quả

BlackForce cũng triển khai các bộ lọc chống phân tích mạnh mẽ. Các bộ lọc này ngăn chặn các nhà nghiên cứu bảo mật và các máy quét tự động bằng cách phân tích User-Agent và sử dụng danh sách chặn ISP.

Điều này làm tăng độ khó trong việc phân tích và gỡ lỗi công cụ. Kẻ tấn công có thể cấu hình các quy tắc để chặn quyền truy cập từ các địa chỉ IP hoặc User-Agent nghi ngờ thuộc về các công ty bảo mật hoặc các công cụ tự động.

Để giảm thiểu thiệt hại từ các cuộc tấn công tinh vi như BlackForce phishing kit, các tổ chức nên triển khai kiến trúc bảo mật Zero Trust. Zero Trust là một mô hình bảo mật yêu cầu xác minh mọi người và mọi thiết bị cố gắng truy cập tài nguyên trên mạng, bất kể họ ở đâu.

Kiến trúc Zero Trust giúp giảm thiểu rủi ro bảo mật thông tin bằng cách áp dụng nguyên tắc “không tin tưởng, luôn xác minh”. Điều này bao gồm xác thực mạnh mẽ, phân quyền truy cập tối thiểu (least privilege) và giám sát liên tục.

Việc triển khai Zero Trust giúp giới hạn khả năng di chuyển ngang của kẻ tấn công ngay cả khi thông tin đăng nhập ban đầu bị xâm phạm. Nó tạo ra nhiều điểm kiểm soát và xác thực hơn trong suốt hành trình truy cập tài nguyên.

Đối với các cuộc tấn công MitB, Zero Trust có thể giúp bằng cách yêu cầu xác thực lại hoặc xác minh bổ sung cho các giao dịch nhạy cảm. Điều này hạn chế khả năng kẻ tấn công sử dụng các phiên đã bị chiếm đoạt.