Bluekit Attack Architecture
Uma plataforma sofisticada de Phishing-as-a-Service (PhaaS) chamada Bluekit foi confirmada operacional em escala. A empresa de cibersegurança Netcraft detectou aproximadamente 70 hostnames ativos em uma única semana. Primeiro documentado pela Varonis Threat Labs como uma ferramenta emergente, o Bluekit amadureceu para uma ameaça totalmente operacional capaz de contornar a autenticação multifator (MFA) e colher credenciais de login do Microsoft em tempo real.
Diferente das ferramentas convencionais de adversário-no-meio (AitM) como Evilginx, que interceptam o tráfego web, o Bluekit emprega uma técnica de Browser-in-the-Middle (BitM). A plataforma carrega a página de login legítima do Microsoft dentro de um navegador controlado pelo atacante e transmite o que a vítima vê diretamente para sua tela usando rrweb, uma biblioteca JavaScript de código aberto.
Evidências e limites
O resultado é tecnicamente significativo: as vítimas não estão interagindo com uma versão clonada ou proxy da página de login. Elas estão interagindo com a página de login real, renderizada no navegador do atacante. Quando completam a autenticação, elas fazem login na sessão ativa do atacante, não na sua própria. Esta arquitetura neutraliza as Credenciais de Sessão Vinculadas ao Dispositivo (DBSC), uma proteção que oferece alguma resistência a ataques AITM tradicionais.
O Bluekit opera em duas fases distintas antes que as credenciais sejam capturadas. Na Fase 1, qualificação da vítima, o sistema aplica verificações anti-análise em camadas, incluindo manipulação de filtros CSS, CAPTCHA personalizado e fingerprinting de navegador. Na Fase 2, entrega BitM, visitantes qualificados recebem um fluxo DOM ao vivo do navegador do atacante via WebSocket.
O que os CISOs devem fazer imediatamente
Equipes de segurança devem monitorar sinais específicos em ambientes web, como conexões WebSocket transmitindo dados binários em páginas de login, presença da biblioteca rrweb fora de contextos de analytics conhecidos e CAPTCHAs personalizados não servidos por Google ou Cloudflare. A presença do rrweb isoladamente não é um indicador de comprometimento, mas o contexto é essencial.
Organizações que dependem exclusivamente do MFA como contramedida contra roubo de credenciais devem tratar o Bluekit como evidência de que proteções em nível de sessão e detecção comportamental são agora componentes essenciais de uma estratégia completa de defesa contra phishing. A implementação de autenticação sem senha (passwordless) e monitoramento de comportamento de usuário (UEBA) são recomendações críticas para mitigar este vetor de ataque.