Дослідники з лабораторії Varonis Threat Labs виявили нову платформу під назвою Bluekit яка пропонує зловмисникам повноцінний набір інструментів для проведення фішингових атак за моделлю програмного забезпечення як послуги. Цей інструментарій дозволяє автоматизувати складні процеси викрадення даних значно знижуючи поріг входу для осіб без глибоких технічних знань у сфері програмування. Замість самостійної розробки компонентів для атаки клієнти отримують єдину панель управління для реєстрації доменів та хостингу сайтів разом із функціями моментального виведення вкраденої інформації на сторонні сервери.
Платформа надає можливість імітувати 40 відомих світових брендів серед яких присутні сервіси iCloud та Apple ID разом із популярними поштовими клієнтами Gmail або Outlook. Така широка різноманітність цілей дозволяє зловмисникам швидко перемикатися між різними типами атак або проводити кілька паралельних кампаній у різних регіонах одночасно без залучення додаткових ресурсів. Окремим елементом системи є інтеграція з месенджером Telegram через який хакери отримують миттєві сповіщення про успішне викрадення паролів чи інших конфіденційних даних своїх жертв для подальшого злочинного використання.
Важливою особливістю Bluekit є впровадження штучного інтелекту на основі модифікованих версій моделей Llama або GPT-4.1 де розробниками заздалегідь було усунуто вбудовані обмеження безпеки для генерації шкідливого вмісту. Застосування зламаних алгоритмів дозволяє автоматично створювати переконливі тексти електронних листів на різних мовах які вимагають лише мінімальних правок перед відправленням потенційним жертвам у всьому світі. Хоча офіційні версії цих систем зазвичай блокують запити на створення шкідливого контенту використання специфічних варіацій нейромереж робить процес підготовки масових розсилок значно ефективнішим порівняно з ручною працею.
Для безпосереднього викрадення облікових даних Bluekit використовує технології захоплення активних сеансів браузера та вилучення файлів cookie що дозволяє обходити протоколи двофакторної автентифікації без фізичного доступу до пристрою. Зловмисники можуть спостерігати за екраном жертви в реальному часі після її входу на підроблену сторінку що створює ілюзію повної автентичності процесу для пересічного користувача. Такий підхід часто робить марними стандартні методи цифрового захисту оскільки серверна частина сервісу сприймає хакера як законного власника облікового запису який успішно пройшов усі необхідні етапи перевірки.
Платформа містить механізми маскування для уникнення виявлення інструментами автоматичного аналізу мережевого трафіку шляхом повного блокування доступу системам перевірки та віртуальним приватним мережам. Завдяки вбудованим функціям емуляції реального географічного розташування хакери можуть імітувати вхід у систему з типових для користувача місць щоб не провокувати тривожні сповіщення від внутрішніх систем безпеки. Постійне оновлення функціоналу робить цей інструментарій загрозою оскільки розробники Bluekit активно реагують на зміни в алгоритмах захисту популярних сервісів постійно підтримуючи працездатність шкідливих сценаріїв для майбутніх атак.
У контексті швидкого поширення подібних загроз фахівці рекомендують бізнесу та приватним особам поступово переходити на використання апаратних ключів стандарту FIDO2 або біометричної ідентифікації через перевірені пристрої. Такі методи верифікації набагато складніше скомпрометувати за допомогою підробки місця розташування чи перехоплення тимчасових кодів доступу які зазвичай передаються через звичайні текстові повідомлення. Окрім технічних засобів регулярне навчання користувачів методам розпізнавання підозрілих листів залишається одним із небагатьох дієвих способів значно зменшити ймовірність успішного проведення масових фішингових атак на початкових етапах їх здійснення.
