Исследователи из лаборатории Varonis Threat Labs обнаружили новую платформу под названием Bluekit, которая предлагает злоумышленникам полноценный набор инструментов для проведения фишинговых атак по модели «программное обеспечение как услуга» (SaaS). Этот инструментарий позволяет автоматизировать сложные процессы кражи данных, значительно снижая порог входа для лиц без глубоких технических знаний в сфере программирования. Вместо самостоятельной разработки компонентов для атаки клиенты получают единую панель управления для регистрации доменов и хостинга сайтов вместе с функциями моментального вывода украденной информации на сторонние серверы.
Платформа предоставляет возможность имитировать 40 известных мировых брендов, среди которых присутствуют сервисы iCloud и Apple ID вместе с популярными почтовыми клиентами Gmail или Outlook. Такое широкое разнообразие целей позволяет злоумышленникам быстро переключаться между различными типами атак или проводить несколько параллельных кампаний в разных регионах одновременно без привлечения дополнительных ресурсов. Отдельным элементом системы является интеграция с мессенджером Telegram, через который хакеры получают мгновенные уведомления об успешной краже паролей или других конфиденциальных данных своих жертв для дальнейшего преступного использования.
Важной особенностью Bluekit является внедрение искусственного интеллекта на основе модифицированных версий моделей Llama или GPT-4.1, где разработчиками заранее были устранены встроенные ограничения безопасности для генерации вредоносного контента. Применение взломанных алгоритмов позволяет автоматически создавать убедительные тексты электронных писем на разных языках, которые требуют лишь минимальных правок перед отправкой потенциальным жертвам во всем мире. Хотя официальные версии этих систем обычно блокируют запросы на создание вредоносного контента, использование специфических вариаций нейросетей делает процесс подготовки массовых рассылок значительно эффективнее по сравнению с ручным трудом.
Для непосредственной кражи учетных данных Bluekit использует технологии захвата активных сеансов браузера и извлечения файлов cookie, что позволяет обходить протоколы двухфакторной аутентификации без физического доступа к устройству. Злоумышленники могут наблюдать за экраном жертвы в реальном времени после её входа на поддельную страницу, что создает иллюзию полной аутентичности процесса для рядового пользователя. Такой подход часто делает бесполезными стандартные методы цифровой защиты, поскольку серверная часть сервиса воспринимает хакера как законного владельца учетной записи, успешно прошедшего все необходимые этапы проверки.
Платформа содержит механизмы маскировки для предотвращения обнаружения инструментами автоматического анализа сетевого трафика путем полной блокировки доступа системам проверки и виртуальным частным сетям. Благодаря встроенным функциям эмуляции реального географического местоположения хакеры могут имитировать вход в систему из типичных для пользователя мест, чтобы не провокуровать тревожные уведомления от внутренних систем безопасности. Постоянное обновление функционала делает этот инструментарий угрозой, так как разработчики Bluekit активно реагируют на изменения в алгоритмах защиты популярных сервисов, постоянно поддерживая работоспособность вредоносных сценариев для будущих атак.
В контексте быстрого распространения подобных угроз специалисты рекомендуют бизнесу и частным лицам постепенно переходить на использование аппаратных ключей стандарта FIDO2 или биометрической идентификации через проверенные устройства. Такие методы верификации гораздо сложнее скомпрометировать с помощью подделки местоположения или перехвата временных кодов доступа, которые обычно передаются через обычные текстовые сообщения. Помимо технических средств, регулярное обучение пользователей методам распознавания подозрительных писем остается одним из немногих действенных способов значительно уменьшить вероятность успешного проведения массовых фишинговых атак на начальных этапах их осуществления.
