Novo serviço de phishing da Bluekit burla a autenticação multifator para roubar credenciais de login da Microsoft.
Uma sofisticada plataforma de Phishing como Serviço (PhaaS) chamada Bluekit foi confirmada como operacional em grande escala, com a empresa de cibersegurança Netcraft detectando aproximadamente 70 nomes de host ativos em uma única semana.
Documentado inicialmente pelo Varonis Threat Labs como uma ferramenta emergente ainda em desenvolvimento, o Bluekit evoluiu para uma ameaça totalmente operacional, capaz de burlar a autenticação multifator (MFA) e coletar credenciais de login da Microsoft em tempo real.
Ao contrário das ferramentas convencionais de ataque intermediário (AitM), como o Evilginx, que interceptam o tráfego da web entre a vítima e o site legítimo, o Bluekit emprega uma técnica de navegador intermediário (BitM) .
A plataforma carrega a página de login legítima da Microsoft dentro de um navegador controlado pelo atacante e transmite o que a vítima vê diretamente para a tela dela usando o rrweb, uma biblioteca JavaScript de código aberto originalmente projetada para reprodução de sessões e análise de produtos.
O resultado é tecnicamente significativo: as vítimas não estão interagindo com uma versão clonada ou proxy da página de login. Elas estão interagindo com a página de login real, renderizada no navegador do atacante.
Ao concluírem a autenticação, os usuários acessam a sessão ativa do atacante, e não a sua própria. Essa arquitetura também neutraliza as Credenciais de Sessão Vinculadas ao Dispositivo (DBSC), uma proteção que oferece alguma resistência a ataques AITM tradicionais.
Arquitetura de ataque Bluekit
O Bluekit opera em duas fases distintas antes mesmo da captura das credenciais.
Fase 1 — Qualificação da Vítima: Antes de exibir qualquer conteúdo de phishing, o Bluekit submete todos os visitantes a verificações anti-análise em camadas, incluindo manipulação aleatória de filtros CSS para burlar a detecção de capturas de tela por hash de pixel, um CAPTCHA personalizado que imita marcas como Cloudflare, pacotes JavaScript ofuscados com mais de 1 MB que são rotacionados periodicamente, coleta de impressões digitais do navegador (RAM, número de CPUs, resolução da tela, indicadores de navegador sem interface gráfica) e detecção de incompatibilidade de IP baseada em WebRTC para identificar analistas de segurança e scanners automatizados.

Fase 2 — Entrega do BitM: Visitantes que passam pelas verificações de qualificação recebem um fluxo DOM ao vivo do navegador do atacante por meio de uma conexão WebSocket, renderizando uma página de login da Microsoft totalmente interativa e com perfeição de pixels. As teclas digitadas e os movimentos do mouse da vítima são retransmitidos para o navegador do atacante, que os executa no site legítimo da Microsoft, concluindo a autenticação na máquina do atacante.
O painel de administração do Bluekit fornece aos operadores uma visão em tempo real das sessões das vítimas, utilizando a mesma infraestrutura rrweb usada para a distribuição, informou a Netcraft ao Cybersecurity News .
Demonstrações de agentes de ameaças compartilhadas no Telegram mostram visibilidade em tempo real dos fluxos de login das vítimas à medida que ocorrem, incluindo atividades pós-autenticação.
Uma vantagem estrutural fundamental em relação a ferramentas como o Evilginx é a consistência da sessão. Em ataques AitM por proxy reverso, a sessão roubada é posteriormente importada para um ambiente de navegador diferente, criando uma incompatibilidade de impressões digitais que os sistemas de detecção podem sinalizar. Com o Bluekit, a sessão é criada e usada no mesmo navegador do início ao fim, eliminando completamente esse sinal de detecção.
A autenticação multifator (MFA) tradicional, incluindo códigos SMS, aplicativos autenticadores e aprovações push, não oferece proteção contra a arquitetura do Bluekit. Como a vítima completa todo o fluxo de login, incluindo a verificação MFA, dentro do navegador do atacante, este herda uma sessão totalmente autenticada desde o início.
Essa é uma vantagem estrutural crucial em relação a ferramentas como o Evilginx, onde o Evilginx rouba e posteriormente reproduz um cookie de sessão em um navegador diferente (criando uma discrepância detectável na impressão digital), enquanto a sessão do Bluekit é criada e usada no mesmo ambiente de navegador, eliminando esse sinal de detecção.
As equipes de segurança devem monitorar os seguintes sinais em ambientes web:
- Conexões WebSocket transmitindo dados criptografados ou binários em páginas de login (fluxo DOM rrweb)
- Os endpoints da API proxy lidam com a busca de recursos em vez de solicitações diretas ao site legítimo.
- Presença da biblioteca rrweb fora de contextos analíticos conhecidos
- CAPTCHAs personalizados não fornecidos pelo Google ou Cloudflare com estruturas HTML aleatórias
- Pacotes JavaScript com mais de 1 MB, com ofuscação e rotação periódica.
- Comportamento da detecção de incompatibilidade de IP do WebRTC em páginas de destino
Os analistas de segurança que executam avaliações automatizadas de kits de phishing também devem garantir que seus ambientes de navegador encaminhem TCP e UDP por meio de proxies para evitar a exposição inadvertida de IPs através de consultas ao servidor STUN do WebRTC.
A utilização indevida do rrweb, um projeto legítimo e amplamente utilizado de código aberto, pelo Bluekit, segue um padrão já estabelecido por agentes maliciosos que abusam da infraestrutura confiável de desenvolvedores para obter legitimidade e burlar controles baseados em reputação.
A presença do rrweb por si só não indica comprometimento; o contexto e os sinais adjacentes são necessários para uma atribuição precisa. Organizações que dependem exclusivamente da autenticação multifator (MFA) como medida de segurança contra roubo de credenciais devem considerar o Bluekit como prova de que proteções em nível de sessão e detecção comportamental são agora componentes essenciais de uma estratégia completa de defesa contra phishing.
Fonte: CyberSecurityNews
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Ataques com ransomwares fizeram 791 vítimas em maio
- O Fantasma na Máquina: o desafio das alucinações de IA na segurança corporativa
- Sem usar vírus, golpe que engana funcionários se multiplica por 37
- Estratégia de cibersegurança vira pilar de sobrevivência para empresas
- IA leva à descoberta de nova técnica de ransomware
- Judiciário brasileiro combate ataques com tecnologia de alta performance
- Altos riscos da segurança em data centers
- IA, ameaças nacionais e cenário global redefinem estratégias de defesa
- Ataques cibernéticos ampliam preocupação do mercado de resseguros
- Governo preparar assinatura digital para a era quântica
- 65% das empresas brasileiras já utilizam agentes de IA
- 57% relatam melhora no compartilhamento de informações entre TI e Segurança

Be the first to comment