Especialistas estão alertando para o BlackForce, um novo kit de phishing vendido nos canais do Telegram por 200 a 300 euros como uma “matadora” de 2FA, capaz de roubar credenciais e roubar autenticação em tempo real usando ataques Man‑in‑the‑Browser.
A ferramenta já é usada para clonar páginas de mais de 11 marcas populares, como Netflix, Disney, DHL e UPS, com foco em estabilidade de ataque, evasão de defesas e resiliência mesmo quando painéis de phishing são derrubados.
Como o BlackForce burla para 2FA
A cadeia de ataque começa com um link malicioso que leva a uma página falsa visualmente idêntica ao site real, após passar por filtros de IP e User‑Agent que barram scanners, vendors de segurança e crawlers automáticos.
Assim que a vítima insere login e senha, os dados são enviados em tempo real ao operador, que recebe uma “sessão ao vivo” pelo painel e então aciona o segundo estágio: uma tela falsa de confirmação para capturar o código único de MFA e assume completamente a conta.
O kit combina coleta de credenciais com um MitB sonoro: tudo que a vítima digital (inclusive tokens de 2FA) é retransmitido imediatamente ao ataque, que sincroniza o uso do código antes de ele expirar.
Em alguns fluxos, após o sucesso do login o usuário é redirecionado ao site especificamente, naturalmente a chance de perceber que caiu em um golpe.
Arquitetura, evasão e atualizações
Uma característica-chave é a arquitetura de “dois canais”: o servidor de phishing fica isolado do canal do Telegram onde as credenciais e tokens são exfiltrados, o que garante que os dados roubados continuem acessíveis mesmo se o domínio ou painel forem tirados do ar.
A partir da versão 4, o BlackForce passou a salvar o estado da sessão e os dados inseridos no navegador, permitindo que o ataque sobreviva a recarregamentos de página e falhas temporárias.
O código do cliente usa intensamente React e React Router, o que faz o JavaScript parecer uma construção legítima de aplicação moderna e dificulta a detecção estática.
As versões mais recentes adicionam ofuscação pesada de JavaScript, listas de bloqueio extensas de ISPs e User‑Agents, modo “somente mobile” e filtros contra ferramentas automáticas, tornando a análise e o bloqueio muito mais complexos.
Implicações para defesa e recomendações
O BlackForce mostra como kits de phishing estão evoluindo de páginas simples para plataformas completas voltadas para o contorno 2FA, com UX convincente, lógica de sessão robusta e exfiltração resiliente em Telegram.
Isso reforça que MFA por SMS/código único isolado não é bala de prata: as organizações precisam combinar MFA com detecção de anomalias de sessão, proteção de navegador, monitoramento de logins suspeitos e, idealmente, modelos de confiança zero para acesso a contas críticas.
Para os usuários, a principal defesa continua sendo verificar cuidadosamente URLs, desconfiar de links recebidos por e‑mail/SMS/mensageria e ativar notificações de login e alertas de novos dispositivos nas contas sensíveis como streaming, bancos de e-mail.
As empresas devem revisar continuamente suas estratégias antiphishing, treinar usuários contra páginas de login falsas, usar filtros avançados de e-mail/web e considerar soluções que detectem comportamento de MitB e uso anômalo de 2FA em tempo real.
