СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 часа назад
#ИБ

BlueKit: PhaaS-платформа для кражи сессий и учетных записей

BlueKit: CloudSek обнаружила сложную Phishing-as-a-Service платформу, которая снижает порог входа для киберпреступников и упрощает массовый сбор учетных записей, перехват сессий и захват аккаунтов. По данным отчета, инфраструктура BlueKit нацелена на финансовый сектор, cloud services и e-commerce по всему миру, а ее архитектура и набор функций делают угрозу особенно опасной для корпоративных и пользовательских учетных записей.

Что такое BlueKit

BlueKit представляет собой развитую PhaaS-модель, построенную по принципу subscription service. Такой подход позволяет даже злоумышленникам с низким уровнем технической подготовки запускать масштабные phishing campaigns без необходимости самостоятельно разрабатывать инструменты, инфраструктуру и механизмы обхода защиты.

Платформа объединяет в себе:

  • автоматизированное развертывание phishing-страниц;
  • функции anti-detection;
  • уведомления о жертвах в real time;
  • сбор credentials и session cookies;
  • инструменты для обхода MFA.

Именно сочетание этих возможностей делает BlueKit удобным инструментом для масштабных атак с минимальными затратами на подготовку.

P2P-архитектура и усложнение обнаружения

Одним из наиболее заметных технических изменений в BlueKit стал переход к системе rendering phishing pages на основе peer-to-peer сети. Такая архитектура позволяет скрывать элементы backend от стандартных traffic analysis tools и затрудняет выявление инфраструктуры по традиционным IOC.

Для специалистов по cyber defense это означает, что привычные механизмы поиска индикаторов компрометации работают хуже, чем в случае с более прозрачными схемами размещения phishing-инфраструктуры. В результате усложняются как attribution, так и оперативное обнаружение кампаний.

Обход защит и автоматизация атак

BlueKit активно использует инструменты и методы, направленные на обход защитных механизмов. В частности, платформа интегрирует обход CAPTCHA через сервисы вроде CapSolver, а также применяет техники evasion, которые, по данным отчета, продолжают дорабатываться после попыток обнаружения.

Особое значение имеет автоматизация работы с учетными данными. BlueKit не ограничивается только сбором логинов и паролей: платформа также перехватывает session cookies, что позволяет злоумышленникам обходить MFA и сохранять доступ к скомпрометированным учетным записям.

Дополнительный уровень маскировки обеспечивается за счет интеграции с Octo Browser. Это помогает манипулировать browser fingerprint и снижать вероятность того, что активность будет связана с одной и той же атакующей средой.

Цели: от Gmail до Ledger и Trezor

BlueKit использует продвинутые phishing templates, ориентированные как на массовые сервисы, так и на специализированные платформы. Среди целей упоминаются:

  • Gmail;
  • Ledger;
  • Trezor.

Атаки на hardware wallets особенно опасны: злоумышленники обманывают пользователей, заставляя их раскрыть recovery phrases, что может привести к irreversible краже crypto assets. Такой подход демонстрирует явный фокус BlueKit на высокоценные финансовые активы и на максимальную монетизацию украденных учетных данных.

Модель подписки как инструмент масштабирования

Отдельного внимания заслуживает business model BlueKit. Платформа позволяет реселлерам использовать инфраструктуру, branding и элементы сервиса как собственные, создавая эффект franchise-style распространения.

Это дает сразу несколько преимуществ для злоумышленников:

  • расширение операционного охвата;
  • рост анонимности;
  • возможность монетизации без прямого участия разработчиков в атаках;
  • упрощение тиражирования phishing-кампаний.

Таким образом, BlueKit выступает не просто как набор инструментов, а как полноценная сервисная экосистема для масштабирования cybercrime.

Потенциал для более серьезных атак

По оценке отчета, расширенные возможности session hijacking могут использоваться не только для кражи учетных записей, но и как отправная точка для более сложных атак, включая deployment of ransomware. Особенно это актуально в средах, где используются corporate и banking logins.

Иными словами, BlueKit — это не только инструмент фишинга, но и потенциальный плацдарм для дальнейшего развития инцидента: от первичного доступа до более разрушительных сценариев.

Вывод

BlueKit отражает новую стадию развития PhaaS-сегмента: более гибкую, автоматизированную и устойчивую к обнаружению. Сочетание P2P-архитектуры, обхода CAPTCHA, перехвата cookies, поддержки MFA-bypass и франчайзинговой модели делает платформу серьезной угрозой для организаций и конечных пользователей по всему миру.

Для defenders это означает необходимость учитывать не только традиционные IOC, но и поведенческие признаки атак, а также тщательно мониторить подозрительную активность, связанную с session theft, browser fingerprinting и аномальными phishing-infrastructure patterns.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: