Пријави инцидент
Пријави инцидент

Bluekit phishing kit воведува Browser-in-the-Middle техника за кражба на кориснички најави

Објавено: 26.06.2026

Платформата Bluekit, која функционира како phishing-as-a-service (PhaaS), продолжува брзо да се развива. Во текот на изминатата недела беа идентификувани речиси 70 нови домени, а платформата доби и нова функционалност – Browser-in-the-Middle (BitM) – која овозможува поефикасна кражба на кориснички податоци.

Bluekit првпат беше документиран во април од истражувачите на Varonis. Платформата нуди AI асистент кој поддржува повеќе големи јазични модели (LLM), меѓу кои Llama, GPT-4.1, Claude, Gemini и DeepSeek, за автоматско генерирање на убедливи фишинг-пораки.

Во тоа време, Bluekit им нудеше на своите „клиенти“ околу 40 различни шаблони за напад врз популарни онлајн услуги, како што се Outlook, Hotmail, Gmail, Yahoo, ProtonMail, iCloud, GitHub и Ledger.

Нов извештај од компанијата за дигитална заштита Netcraft предупредува дека Bluekit ја заменил досегашната техника Adversary-in-the-Middle (AitM) со Browser-in-the-Middle (BitM) механизам, кој ја користи JavaScript библиотеката со отворен код rrweb за серилизација на DOM структурата на веб-страницата и нејзино пренесување во реално време преку WebSocket кон жртвата.

Кај BitM напад, жртвата всушност комуницира со веб-прелистувач кој е целосно контролиран од напаѓачот. Тој прелистувач ја отвора легитимната страница за најава и ги проследува сите барања и одговори помеѓу жртвата и вистинската услуга.

Од Netcraft нагласуваат дека rrweb сам по себе е легитимен проект кој широко се користи за снимање на кориснички сесии и веб-аналитика, па неговото присуство на некоја веб-страница не треба автоматски да се смета за показател за компромитација, освен ако не постојат и други сомнителни индикатори.

Сликите, фонтовите и CSS-датотеките се преземаат преку инфраструктурата на фишинг-страницата, додека сите внесени податоци од жртвата се препраќаат до прелистувачот што го контролира напаѓачот.

Истражувачите наведуваат дека rrweb е избран поради:

  • висока верност при прикажувањето на веб-страницата,
  • интерактивност во реално време,
  • ефикасно користење на пропусниот опсег (bandwidth).

Сепак, ваквиот пристап воведува мала латентност, па доцнење при внесување текст или при кликнување со глувчето на страниците за најава може да биде предупредувачки знак дека станува збор за BitM напад.

Процесот на автентикација се извршува во прелистувачот на напаѓачот, со што тој добива валиден токен за сесија (session token) и практично неограничен пристап до сметката на жртвата, дури и ако е вклучена повеќефакторска автентикација (MFA).

Преглед на нападот со Bluekit

Методот на напад Browser-in-the-Middle (BitM) е познат уште од 2022 година, кога беше осмислен од безбедносниот истражувач mr.d0x, а подоцна беше прифатен и злоупотребен од сајбер-криминални групи.

Пред да ги украде корисничките податоци за најава, Bluekit користи напреден систем за проверка и селекција на жртвите, со кој се обидува да разликува вистински корисници од безбедносни истражувачи, автоматизирани анализатори и веб-роботи.

Системи за избегнување анализа

Најновите верзии на Bluekit вклучуваат повеќе механизми за заштита од откривање:

  • Рандомизирани CSS филтри за да се отежне откривањето преку автоматизирано снимање на екранот.
  • Голем и обфускиран JavaScript пакет (поголем од 1 MB), кој редовно се менува за да ја отежне анализата.
  • Сопствен CAPTCHA механизам, кој може да го имитира изгледот на Cloudflare или на брендот што е цел на нападот.
  • Fingerprinting на прелистувачот, при што се проверуваат:
    • количината на RAM меморија,
    • бројот на процесорски јадра,
    • резолуцијата на екранот,
    • јазичните поставки,
    • дали се користи headless прелистувач,
    • присуство на екстензии за заштита од fingerprinting.
  • WebRTC проверка на IP адресата, со која се откриваат корисници што користат прокси-сервери или VPN услуги.

Следење на жртвата во реално време

Според Netcraft, системот за следење во живо, кој претходно беше документиран од Varonis, сè уште е присутен во Bluekit.

Овој механизам се ажурира на секои пет секунди и им овозможува на операторите:

  • да ја следат жртвата додека ја користи лажната страница за најава;
  • да го набљудуваат нејзиното однесување за време на процесот на најавување;
  • да ги следат активностите и по успешното логирање.

Индикатори поврзани со Bluekit

Во својот извештај, истражувачите наведуваат повеќе сигнали кои можат да укажуваат на присуство на Bluekit, но нагласуваат дека тие сами по себе не претставуваат индикатори за компромитација (IoC).

Меѓу нив се:

  • манипулација со CSS филтрите на HTML елементите со случајно генерирани вредности;
  • обфускиран JavaScript код кој периодично се заменува;
  • проверки за fingerprinting на прелистувачот;
  • WebSocket конекции што пренесуваат шифрирани или бинарни податоци на страниците за најава;
  • WebRTC проверки за несовпаѓање на IP адресата уште при отворањето на страницата.

Заштита од современи фишинг-напади

Со оглед на сè пософистицираните phishing, Business Email Compromise (BEC) и Account Takeover (ATO) напади, BleepingComputer организира вебинар во соработка со Abnormal на тема:

„Stop chasing alerts: Automating email security with behavioral AI“

На вебинарот ќе се дискутира како вештачката интелигенција базирана на анализа на однесување (behavioral AI) може да им помогне на безбедносните тимови:

  • да откриваат и блокираат современи фишинг-напади;
  • да ги автоматизираат истрагите и процесите за санација;
  • да го намалат оперативниот товар предизвикан од големиот број безбедносни аларми;
  • поефикасно да се справуваат со сè понапредните кампањи на социјален инженеринг.

Извори:

  • Bleeping Computer – Bluekit phishing kit adopts browser-in-the-middle for login theft Bleeping Computer