Pesquisadores do Varonis Threat Labs identificaram uma nova plataforma criminosa voltada para ataques de phishing: o Bluekit. A ferramenta chama atenção por consolidar, em um único painel, recursos que antes eram vendidos separadamente no submundo cibercriminoso.
O kit já oferece mais de 40 modelos prontos de páginas fraudulentas, além de recursos como registro automático de domínios, mecanismos para contornar autenticação em dois fatores (MFA) e até um assistente integrado com inteligência artificial.
Embora ainda esteja em desenvolvimento ativo, o Bluekit já desponta como uma solução altamente sofisticada para campanhas de roubo de credenciais.
Plataforma centraliza toda a operação
Segundo o relatório do Varonis Threat Labs, o grande diferencial do Bluekit é a centralização.
A interface reúne, em um único dashboard, todas as etapas necessárias para executar uma campanha de phishing:
- criação de páginas falsas;
- registro automatizado de domínios;
- gerenciamento de credenciais capturadas;
- monitoramento de sessões;
- envio automático de dados roubados via Telegram.
Na prática, isso elimina a necessidade de integrar diferentes ferramentas ou serviços clandestinos.
Alvos incluem gigantes da tecnologia e varejo
Durante a configuração da campanha, o operador pode selecionar o domínio, o tipo de ataque e a marca que deseja imitar.
Os templates disponíveis abrangem serviços amplamente utilizados, como:
- iCloud
- Apple ID
- Gmail
- Outlook
- Hotmail
- Yahoo
- ProtonMail
- GitHub
- Zoho
- Zara
- Ledger
A diversidade mostra o potencial do kit para atingir desde usuários comuns até ambientes corporativos e investidores em criptoativos.
Controle avançado após o clique
O Bluekit oferece um nível elevado de personalização operacional.
Os operadores conseguem configurar:
- redirecionamentos automáticos;
- bloqueios por geolocalização;
- filtros baseados no dispositivo da vítima;
- mecanismos anti-análise;
- spoofing de localização;
- emulação geográfica.
Esses recursos tornam as páginas fraudulentas mais difíceis de detectar por pesquisadores e ferramentas automatizadas de segurança.
Além disso, o kit monitora sessões em tempo real e captura cookies e dados armazenados localmente no navegador.
O objetivo vai além do simples roubo de senhas: a intenção é sequestrar sessões autenticadas e manter acesso contínuo às contas comprometidas.
IA integrada ainda é limitada
Um dos recursos mais curiosos é o assistente de inteligência artificial embutido na plataforma.
A interface exibe suporte para múltiplos modelos, incluindo:
- Llama (versão padrão)
- GPT-4.1
- Claude Sonnet 4
- Gemini
- variantes do DeepSeek
No entanto, durante os testes realizados pelos pesquisadores, apenas o Llama padrão estava funcional.
Os demais modelos apareciam na interface, mas exigiam configurações adicionais indisponíveis durante a análise.
Ainda assim, a simples presença dessas opções sugere que futuras versões podem incorporar integrações mais robustas — possivelmente com instâncias modificadas para contornar restrições de uso.
IA cria esboços, mas não automatiza ataques
Para avaliar o potencial da ferramenta, os pesquisadores simularam um cenário de ataque direcionado contra o CISO de uma empresa fictícia.
A solicitação incluía:
- isca de revalidação de MFA no Microsoft 365;
- QR Code malicioso;
- página de captura de credenciais.
O resultado foi um rascunho estruturado, porém incompleto.
A IA gerou apenas uma base de campanha, com campos genéricos e placeholders que exigiriam edição manual.
Ou seja: o sistema ainda está longe de funcionar como um “copiloto completo” para phishing.
Evolução rápida preocupa especialistas
O Varonis monitora o Bluekit há algum tempo e destaca a velocidade de evolução da plataforma.
Novas funções e modelos vêm sendo adicionados com frequência, indicando desenvolvimento contínuo.
Embora ainda esteja atrás de kits mais consolidados no mercado clandestino, o Bluekit preocupa por reduzir significativamente a barreira técnica para execução de campanhas de phishing em escala.
Ao reunir múltiplas ferramentas em uma única interface, a plataforma torna ataques sofisticados mais acessíveis até para operadores com pouca experiência técnica.
