La scoperta del kit di phishing Bluekit da parte dei Varonis Threat Labs mette in evidenza un cambiamento significativo nel panorama del phishing, che da attività frammentata e spesso artigianale si sta trasformando in un modello strutturato e altamente integrato.
Secondo i ricercatori che avrebbero avuto accesso alla sua dashboard interna, Bluekit si presenterebbe come una piattaforma completa che consente agli attaccanti di orchestrare campagne malevole senza dover costruire manualmente l’infrastruttura.
“[Bluekit] Pubblicizza oltre 40 modelli di siti web, acquisto e registrazione automatizzati di domini, supporto per l’autenticazione a due fattori (2FA), spoofing, emulazione della geolocalizzazione, notifiche Telegram e del browser, cloaking antibot e componenti aggiuntivi come un assistente IA, clonazione vocale e un mittente di email”, spiega Daniel Kelley, Senior Security Researcher presso Varonis.
Tutto questo abbasserebbe la soglia di ingresso permettendo anche a operatori con competenze limitate di lanciare attacchi complessi, aumentando di conseguenza il volume e la frequenza delle campagne.
Indice degli argomenti
Bluekit: architettura centralizzata e automazione operativa
Si apprende che dal punto di vista tecnico, Bluekit introduce un approccio centralizzato che integra tutte le componenti necessarie per un attacco di phishing efficace. Infatti, la piattaforma includerebbe template preconfigurati per diversi servizi digitali, sistemi automatizzati per la gestione dei domini e strumenti per la distribuzione delle campagne.
“I modelli che abbiamo esaminato riguardavano account di posta elettronica e cloud, piattaforme per sviluppatori, social media, vendita al dettaglio e servizi di criptovalute, tra cui iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara e Ledger”, continua il ricercatore Kelley.
Fonte: Varonis.
Pertanto, questa integrazione ridurrebbe drasticamente il tempo necessario per preparare un attacco, e consentendo una gestione semplificata delle operazioni eliminerebbe molte delle attività manuali che in passato richiedevano competenze specifiche, trasformando l’attacco di phishing in un processo replicabile su larga scala.
Dal furto di credenziali alla persistenza e resilienza
Uno degli aspetti più rilevanti emersi dall’analisi riguarda la capacità di Bluekit di andare oltre il semplice furto di credenziali.
La piattaforma è progettata per acquisire anche cookie, dati di sessione e informazioni di storage del browser. Questo consente agli attaccanti di mantenere l’accesso agli account compromessi anche dopo il processo di autenticazione, aggirando in parte le misure di sicurezza tradizionali come l’autenticazione a più fattori.
Si tratta di un cambiamento importante, perché sposta il focus dall’acquisizione iniziale delle credenziali alla persistenza nel tempo, aumentando l’impatto complessivo dell’attacco.
Un altro elemento distintivo della piattaforma sarebbe l’adozione di tecniche avanzate di evasione. Bluekit utilizzerebbe meccanismi di cloaking per evitare l’analisi automatizzata e può filtrare le vittime in base a parametri geografici o al tipo di dispositivo utilizzato.
Tutto ciò contribuirebbe a rendere la piattaforma particolarmente resiliente e difficile da contrastare con strumenti tradizionali.
Il ruolo emergente dell’IA
Secondo l’analisi di Varonis, Bluekit integrerebbe anche un assistente basato su intelligenza artificiale, concepito per supportare la creazione e la gestione delle campagne.
“All’interno di Bluekit, l’Assistente AI ha un pannello dedicato e offre diverse opzioni di modelli, tra cui un modello predefinito semplificato Llama, oltre a varianti come GPT-4.1, Claude Sonnet 4, Gemini e DeepSeek”, si legge nel rapporto.
Tuttavia. dei test avrebbero dimostrato che l’efficacia di questa componente risulti ancora limitata.
“Ci aspettavamo qualcosa di più simile a un assistente di phishing ben rifinito: un’esca completa, un testo dell’email più chiaro e magari anche un flusso funzionante basato su codici QR con meno sforzo manuale. Quello che abbiamo ricevuto era molto più limitato”, continua il rapporto. «L’assistente ha restituito una bozza di campagna strutturata, ma gran parte di essa si basava su segnaposto anziché su contenuti pronti all’uso.”
Fonte: Varonis.
Una trasformazione strutturale del cyber crime
L’emergere di soluzioni come Bluekit evidenzia la necessità di un’evoluzione nelle strategie di difesa. Il phishing non può più essere considerato un semplice problema di filtraggio delle e-mail, ma deve essere affrontato come un fenomeno sistemico che coinvolge l’intero ciclo di accesso alle risorse digitali.
Diventa fondamentale monitorare il comportamento degli utenti dopo l’autenticazione, analizzare l’uso delle sessioni e rilevare eventuali anomalie nell’accesso ai servizi.
In conclusione, anche se la piattaforma è ancora in fase di sviluppo e presenta alcune limitazioni, il suo potenziale risulta evidente.
Bluekit rappresenta un esempio concreto della trasformazione in atto nel cyber crime, sempre più orientato verso modelli simili al Software as a Service in cui l’intelligenza artificiale sta diventando sempre più centrale nel ciclo di vita degli attacchi, contribuendo a renderli più sofisticati e difficili da rilevare.
