Zscaler发布了一份关于名为“BlackForce”的新型钓鱼工具包的报告，该工具包使用浏览器中间人攻击窃取凭据并绕过多因素身份验证。值得注意的是，该工具包“设有一个审查系统来筛选目标，之后由真人操作员接管，引导完成整个入侵过程。”

此外，该钓鱼工具包主要使用合法代码，以避免被安全扫描器检测。

Zscaler表示：“BlackForce钓鱼工具包使用的最有效的欺骗策略是其‘看似合法的’代码库。我们的分析发现，恶意JavaScript文件超过99%的内容由React和React Router的生产构建组成，使其呈现出合法的外观。”

BlackForce攻击链的进行过程如下：

• “受害者点击钓鱼链接，被导向攻击者控制的钓鱼页面。
• “服务器端的互联网服务提供商/供应商阻止列表应用于受害者的IP或用户代理，阻止任何被识别为爬虫、扫描器的流量。
• “用户验证通过后，钓鱼页面被加载，并被设计成看起来像合法网站。
• “受害者信以为真，输入其凭据，这些凭据立即被攻击者捕获。
• “攻击者通过其命令与控制面板收到实时受害者会话警报和被窃取的凭据，告知他们有活跃目标。被盗凭据也通过Telegram频道发送给攻击者。
• “攻击者尝试使用窃取的凭据登录合法目标网站，触发MFA身份验证提示。
• “利用MitB攻击技术，攻击者通过C2面板向受害者的浏览器部署一个虚假的MFA身份验证页面。
• “受害者的浏览器渲染虚假MFA页面，而受害者在不知情的情况下输入其MFA验证码。”

一旦攻击者获得MFA验证码，他们就能访问受害者的账户。随后，受害者会被重定向到被仿冒服务的合法网站。

Zscaler对此进行了报道。