Pesquisadores do Varonis Threat Labs investigaram o kit por dentro e testaram um assistente de IA que faz parte do pacote.
Os especialistas do Varonis Threat Labs descobriram um novo kit de phishing denominado Bluekit, que combina em uma única interface ferramentas anteriormente oferecidas separadamente no mercado ilegal.
O kit conta com mais de 40 modelos de páginas fraudulentas, registro automático de domínios, suporte para contornar autenticação de dois fatores e um assistente de inteligência artificial integrado.
A descoberta foi apresentada em um relatório do Varonis Threat Labs. Embora o Bluekit ainda esteja sendo aprimorado, já disponibiliza funcionalidades que o tornam uma plataforma abrangente para phishing.
Painel centraliza a operação em uma interface única
O dashboard do Bluekit agrega as funções de criação de campanhas, registro de domínios, gerenciamento de credenciais coletadas e envio de informações roubadas via Telegram. Isso permite que o operador maneje todas as etapas do ataque em um único lugar.
Durante a configuração de sites fraudulentos, o operador escolhe o domínio, o modo de operação e a marca a ser alvo. Os modelos disponíveis abrangem provedores de e-mail, plataformas para desenvolvedores, redes sociais, varejos e serviços de criptomoedas, incluindo iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara e Ledger.
Controle avançado determina os resultados ao clicar
O kit oferece configurações detalhadas para cada página criada, permitindo que o operador defina redirecionamentos, restrições geográficas, filtros de dispositivos e verificações anti-análise para dificultar a detecção por pesquisadores de segurança.
Além disso, o Bluekit suporta spoofing e emulação de geolocalização, permitindo simular diferentes origens para a mesma página maliciosa.
A ferramenta também monitora sessões em tempo real e armazena cookies e dados do armazenamento local do navegador, proporcionando uma visualização ao vivo do que a vítima vê após o login, com o objetivo de capturar credenciais e manter acesso contínuo.
Assistente de IA oferece múltiplos modelos
O Bluekit apresenta um painel dedicado ao assistente de IA, com várias opções de modelos, incluindo um Llama como padrão e opções como GPT-4.1, Claude Sonnet 4, Gemini e variantes do DeepSeek.
Nos testes realizados, apenas o modelo Llama estava funcional, enquanto os demais requeriam configurações adicionais que não estavam disponíveis na análise.
Contudo, a presença de modelos comerciais é relevante, pois se ativados, poderia favorecer operações de phishing mais sofisticadas.
IA gera rascunhos de campanha
Os pesquisadores testaram o assistente com um cenário real, criando uma campanha fictícia voltada para o CISO de uma empresa, com a isca de revalidação de MFA no Microsoft 365 e coleta de credenciais. O resultado foi um rascunho estruturado, mas repleto de campos genéricos que precisariam ser ajustados antes do uso.
O assistente atua como um gerador de rascunhos. Ele não entrega uma campanha pronta, e os pesquisadores esperavam algo mais sofisticado.
Ritmo acelerado de atualizações indica expansão futura
O Varonis monitora o Bluekit há algum tempo e, com o passar do tempo, a frequência das atualizações foi se tornando crucial na análise. Novos modelos e funções têm sido adicionados em um ritmo constante, tornando as mudanças tão relevantes quanto a previsão de um ataque real.
Embora o Bluekit ainda esteja em desenvolvimento, se essa taxa de evolução continuar e sua adoção aumentar, é provável que ele apareça em futuras campanhas de phishing, facilitando a execução de ataques em larga escala.
Acompanhe a TecMania nas redes sociais e para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.