تُشكل أدوات التصيد الاحتيالي المتطورة تهديداً متزايداً للمؤسسات حول العالم، وقد سلط تقرير حديث الضوء على ظهور “BlackForce”، وهي مجموعة أدوات تصيد احترافية تمكن المهاجمين من سرقة بيانات الاعتماد وتجاوز المصادقة متعددة العوامل.
تم رصد هذه الأداة لأول مرة في أغسطس 2025، وهي تُباع حالياً على منتديات تليجرام بأسعار تتراوح بين 200 و 300 يورو، مما يجعلها في متناول مجموعة واسعة من الجهات الفاعلة بالتهديدات. وقد استخدمت BlackForce بالفعل لاستهداف علامات تجارية كبرى مثل ديزني ونتفليكس وDHL وUPS.
BlackForce: أداة تصيد متقدمة لتجاوز المصادقة
تُمثل مجموعة أدوات التصيد BlackForce تطوراً كبيراً في قدرات سرقة بيانات الاعتماد. وما يجعل BlackForce خطيرة بشكل خاص هو قدرتها على تنفيذ هجمات “رجل في المتصفح” (Man-in-the-Browser)، والتي تسمح للمهاجمين باعتراض ومعالجة الاتصالات بين الضحايا والمواقع الإلكترونية الشرعية في الوقت الفعلي.
تُمكن هذه التقنية المجرمين من التقاط رموز المصادقة لمرة واحدة التي يستقبلها الضحايا عبر الرسائل القصيرة أو البريد الإلكتروني أو تطبيقات المصادقة، مما يجعل المصادقة متعددة العوامل غير فعالة.
وفقًا لتحليلات أجراها محللو الأمن في Zscaler، تم اكتشاف وتحليل مجموعة أدوات التصيد BlackForce بعد رصد أنماط مشبوهة في حملات التصيد الاحتيالي.
آلية هجوم متطورة “رجل في المتصفح”
يكمن جوهر قوة BlackForce في سلسلة هجومها المتطورة متعددة المراحل. عندما ينقر الضحية على رابط تصيدي، يواجه صفحة تسجيل دخول تبدو شرعية ومعتمدة للوهلة الأولى.
بمجرد إدخال الضحية لبيانات اعتماده، يتلقى المهاجم تنبيهاً فورياً عبر لوحة تحكم القيادة والتحكم (C2)، ويتمكن من الوصول إلى قناة تليجرام تحتوي على المعلومات المسروقة.
بعد ذلك، يستخدم المهاجم بيانات الاعتماد لتسجيل الدخول إلى الخدمة الحقيقية، مما يؤدي إلى ظهور مطالبة المصادقة متعددة العوامل (MFA).
هنا، تبرز BlackForce براعتها التقنية من خلال نشر صفحة MFA وهمية مباشرة في متصفح الضحية. يدخل الضحية دون علمه رمز المصادقة الخاص به في هذه الصفحة الاحتيالية، ليتم التقاطه فوراً من قبل المهاجم واستخدامه لإكمال الاستيلاء على الحساب.
تستخدم الإصدارات الأحدث من BlackForce ذاكرة التخزين المؤقت للجلسة (session storage) للحفاظ على الحالة عبر عمليات إعادة تحميل الصفحة، مما يجعل الهجمات أكثر مقاومة.
بالإضافة إلى ذلك، تنفذ الأداة مرشحات قوية لمكافحة التحليل، والتي تمنع الباحثين الأمنيين والماسحات الآلية من خلال تحليل عناوين User-Agent وقوائم حظر مزودي خدمة الإنترنت.
تُشير التقارير إلى وجود خمسة إصدارات مميزة من BlackForce على الأقل، مما يوحي بأن المهاجمين يعملون باستمرار على تحسين أدواتهم.
ينصح الخبراء المؤسسات بتبني بنيات أمنية قائمة على مبدأ “انعدام الثقة” (zero-trust) لتقليل الضرر الناجم عن مثل هذه الهجمات المعقدة.