Um kit de phishing recém-identificado chamado Bluekit está mudando a forma como cibercriminosos realizam ataques de phishing, empacotando múltiplas capacidades de ataque em um único painel de operador fácil de usar. Em vez de depender de ferramentas separadas costuradas de diferentes fontes, o Bluekit oferece aos atacantes uma plataforma centralizada para gerenciar tudo, desde a criação de sites falsos até o sequestro de sessão.
Inovação na automação de ataques
Por anos, operadores de kits de phishing tiveram que comprar uma página de coleta de credenciais de um vendedor, um rotador de domínios de outro e uma porta de SMS de um terceiro. Esse processo exigia conhecimento técnico e tempo. O Bluekit muda esse modelo, agrupando todas essas capacidades em um único painel, reduzindo a barreira para que até mesmo atores de ameaça menos experientes lancem campanhas de phishing polidas.
O kit anuncia mais de 40 modelos de sites, compra e registro automatizados de domínios, suporte a autenticação de dois fatores (2FA), spoofing, emulação de geolocalização, notificações do Telegram, cloaking antibot e add-ons opcionais como clonagem de voz e um remetente de e-mail. Pesquisadores do Varonis Threat Labs identificaram e analisaram o Bluekit após obter acesso ao kit e revisar sua estrutura interna.
Capacidades avançadas de sequestro de sessão
A capacidade mais preocupante do Bluekit não é apenas sua capacidade de roubar senhas, mas o que ele faz após uma vítima enviar suas credenciais. O sequestro de sessão é incorporado diretamente ao design central do kit. Na visão "Mammoth Details" examinada durante a pesquisa, o Bluekit rastreou o estado da sessão, armazenou repetidas cópias de cookies e armazenamento local, e manteve uma visão em tempo real do que a vítima via após fazer login.
Isso significa que, mesmo que uma vítima tenha 2FA habilitado em sua conta, o Bluekit é projetado para capturar os tokens de sessão gerados após uma verificação 2FA bem-sucedida, efetivamente ignorando essa camada de segurança inteiramente. O painel de configuração de edição do site, ações de detecção de login expostas, comportamento de redirecionamento, verificações anti-análise, opções de spoofing e filtros de dispositivo são visíveis em uma única tela.
Uso de inteligência artificial no ataque
O Bluekit também apresenta um Assistente de IA com seu próprio painel dentro do dashboard, oferecendo múltiplas opções de modelos de IA, incluindo um modelo Llama abolido como padrão, além de opções listadas para GPT-4.1, Claude Sonnet 4, Gemini e variantes DeepSeek. Durante os testes, o componente de IA gerou rascunhos de campanhas de phishing estruturadas, embora ainda exigisse limpeza manual antes que as campanhas fossem utilizáveis.
Os modelos revisados pela equipe cobriram uma ampla gama de serviços, incluindo iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara e Ledger. O impacto deste kit é significativo. Porque o Bluekit centraliza tantos passos do fluxo de trabalho de phishing, os atacantes agora podem criar páginas de phishing convincentes, registrar domínios e monitorar sessões capturadas sem alternar entre ferramentas ou plataformas.
Implicações para a segurança corporativa
As organizações são fortemente aconselhadas a impor métodos de autenticação resistentes a phishing, como chaves de segurança de hardware, pois o roubo de tokens de sessão pode ignorar o 2FA padrão. As equipes de segurança devem monitorar locais de login incomuns, reutilização inesperada de tokens de sessão e tentativas de injeção de cookies. Os funcionários devem ser treinados regularmente para reconhecer páginas de login semelhantes e as equipes de rede devem habilitar filtragem estrita de reputação de domínio para bloquear domínios de phishing recém-registrados antes que alcancem os usuários finais.
A integração do Telegram é definida como o canal de exfiltração padrão, o que significa que credenciais e tokens de sessão roubados são enviados diretamente para um chat controlado pelo atacante em tempo real. Isso torna o tempo de resposta mais rápido e o rastreamento mais difícil para os defensores. A capacidade de gerenciar todo o ciclo de vida da sessão permite que os atacantes assumam contas mesmo quando controles de autenticação modernos estão em vigor.
O que os CISOs devem fazer agora
1. Implemente autenticação sem senha (passwordless) ou chaves de segurança FIDO2. 2. Monitore logs de sessão para atividade anômala pós-login. 3. Bloqueie domínios recém-registrados com reputação desconhecida. 4. Treine usuários para identificar páginas de login falsas. 5. Revise políticas de acesso a dados sensíveis.