A plataforma Bluekit de phishing como serviço continua evoluindo.
Nos últimos sete dias, foram identificados quase 70 novos hostnames, além da adição de recursos de browser-in-the-middle, conhecidos como BitM, para aprimorar o roubo de dados.
Documentado pela primeira vez em abril por pesquisadores da Varonis, o Bluekit oferece um assistente de IA que dá suporte a múltiplos modelos de linguagem, como Llama, GPT-4.1, Claude, Gemini e DeepSeek, para a criação de e-mails de phishing.
Na época, o kit de phishing já oferecia 40 modelos distintos para alvos em serviços online populares, como Outlook, Hotmail, Gmail, Yahoo, ProtonMail, iCloud, GitHub e Ledger.
Um novo relatório da empresa de proteção contra riscos digitais Netcraft alerta que o Bluekit deixou de usar o método de adversário no meio da conexão e passou a adotar um mecanismo BitM.
A técnica usa a biblioteca JavaScript de código aberto rrweb para serializar o DOM da página e transmiti-lo por uma conexão WebSocket à vítima.
Em um ataque BitM, a vítima interage com uma sessão de browser controlada pelo atacante, que carrega a página legítima de login e repassa requisições e respostas entre a vítima e o serviço-alvo.
A Netcraft observa que o rrweb é um projeto legítimo e amplamente usado para reprodução de sessões e análise, e que sua presença em um ambiente web não deve ser interpretada, sozinha, como sinal de comprometimento sem um contexto mais amplo.
Imagens, fontes e CSS são buscados pela própria infraestrutura de phishing, enquanto as entradas da vítima são encaminhadas de volta ao navegador controlado pelo atacante.
Segundo os pesquisadores, o rrweb foi escolhido por oferecer excelente fidelidade visual, interatividade em tempo real e eficiência de banda.
Ainda assim, existe alguma latência.
Por isso, qualquer atraso na digitação ou nos cliques do mouse nas páginas de login deve ser visto como um sinal de alerta.
A autenticação é concluída no navegador do atacante, o que lhe concede um session token válido e acesso irrestrito à conta da vítima.
Esse método de ataque BitM é conhecido desde 2022, quando foi criado pelo pesquisador mr.d0x e depois passou a ser usado em atividades maliciosas.
Antes de roubar as credenciais, o Bluekit usa um sistema abrangente de qualificação da vítima para diferenciar alvos reais de pesquisadores ou rastreadores de segurança.
Entre os mecanismos de anti-análise presentes na versão mais recente do Bluekit estão:
Filtros CSS aleatórios para driblar a detecção baseada em captura de tela.
Um pacote JavaScript ofuscado, grande, com mais de 1 MB, e frequentemente alterado.
CAPTCHA personalizado que pode imitar a Cloudflare ou a marca do alvo.
Impressão digital do browser, com verificação de RAM, núcleos de CPU, resolução da tela, idioma, detecção de browser sem interface gráfica e extensões anti-fingerprinting.
Detecção de incompatibilidade de IP com base em WebRTC para identificar usuários atrás de proxies ou VPN.
A Netcraft também informa que o sistema de monitoramento em tempo real, com atualização a cada 5 segundos, documentado anteriormente pela Varonis, continua disponível no Bluekit.
Isso permite que os operadores acompanhem as vítimas enquanto elas são levadas a sessões de login enganosas e monitorem suas ações após a autenticação.
O relatório dos pesquisadores traz um conjunto de indicadores e sinais associados ao Bluekit, mas que não constituem, por si só, indicadores de comprometimento.
Entre eles estão a manipulação de filtros CSS em elementos HTML de nível superior com valores aleatórios, um pacote JavaScript ofuscado que é trocado periodicamente, verificações de impressão digital do browser, uma conexão WebSocket que envia dados criptografados ou binários nas páginas de login e a detecção de incompatibilidade de IP via WebRTC na página de entrada.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...