Bluekit: O Novo Kit de Phishing com IA que Centraliza Golpes Digitais

Pesquisadores do Varonis Threat Labs revelaram a descoberta do Bluekit, uma plataforma de phishing inovadora que consolida diversas ferramentas criminosas, antes vendidas separadamente, em um único painel de controle. Este kit representa um avanço significativo na sofisticação dos ataques digitais, tornando-os mais acessíveis a operadores mal-intencionados.

O Bluekit, ainda em fase de desenvolvimento ativo, já se destaca por seu conjunto robusto de funcionalidades. Ele oferece mais de 40 modelos de páginas falsas, registro automatizado de domínios, suporte para bypass de autenticação em dois fatores (2FA) e um assistente de inteligência artificial integrado, conforme detalhado em um relatório recente do Varonis Threat Labs.

Painel Centralizado Simplifica Operações Criminosas

A principal característica do Bluekit é seu dashboard unificado, que centraliza todas as etapas de uma operação de phishing. Os operadores podem criar campanhas, registrar domínios maliciosos, gerenciar credenciais capturadas e até mesmo enviar dados roubados via Telegram, tudo a partir de uma única interface. Essa integração elimina a necessidade de recorrer a múltiplos serviços, reduzindo a complexidade e a barreira técnica para a execução de ataques em larga escala.

Na fase de criação de sites falsos, o Bluekit oferece ao operador a flexibilidade de escolher o domínio, o modo de operação e a marca alvo. A vasta biblioteca de modelos abrange uma gama diversificada de serviços populares, incluindo:

• Provedores de e-mail: iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail
• Plataformas para desenvolvedores: GitHub
• Redes sociais: Twitter, Zoho
• Varejo: Zara
• Serviços de criptomoedas: Ledger

Controle Granular e Rastreamento de Sessões

O kit proporciona um controle minucioso sobre cada página falsa criada. Os operadores podem configurar redirecionamentos específicos, aplicar bloqueios baseados em geolocalização, filtrar por tipo de dispositivo e implementar verificações anti-análise que dificultam a detecção por pesquisadores de segurança. Além disso, o Bluekit suporta spoofing e emulação de geolocalização, permitindo simular diferentes origens para a mesma página maliciosa.

Uma funcionalidade crucial é o rastreamento de sessões em tempo real. A ferramenta armazena cookies e dados do armazenamento local do navegador, e o painel exibe uma visualização ao vivo do que a vítima está vendo após o login. O objetivo vai além da simples captura de credenciais, visando manter o acesso à sessão ativa da vítima, o que pode levar a ataques mais profundos e persistentes.

Assistente de Inteligência Artificial: Potencial e Limitações Atuais

O Bluekit incorpora um painel dedicado a um assistente de IA, que apresenta múltiplas opções de modelo. A lista inclui um Llama “abliterado” como padrão, além de referências a GPT-4.1, Claude Sonnet 4, Gemini e variantes do DeepSeek. Contudo, nos testes conduzidos pelos pesquisadores, apenas o modelo Llama padrão estava operacional, enquanto os demais exigiam configurações adicionais não disponíveis durante a análise.

Ainda assim, a mera presença de modelos comerciais de IA na interface é notável. Se ativados em um cenário real, é provável que esses modelos estejam sendo acessados por meio de instâncias com restrições de uso removidas, uma vez que as configurações padrão de tais IAs geralmente bloqueiam solicitações com intenções maliciosas.

IA como Gerador de Rascunhos, Não de Ataques Prontos

Os pesquisadores testaram o assistente de IA com um cenário prático: a criação de uma campanha direcionada ao CISO de uma empresa fictícia, utilizando uma isca de revalidação de MFA no Microsoft 365, com QR code e uma página para coleta de credenciais. O resultado foi um rascunho estruturado, mas com muitos campos genéricos e placeholders que demandariam edição manual significativa antes de qualquer uso efetivo.

O assistente de IA do Bluekit, portanto, funciona primariamente como um gerador de esqueletos de campanha, e não como um “copiloto de phishing” completo que entrega operações prontas. A expectativa dos pesquisadores por uma ferramenta mais autônoma foi superada pela realidade de uma funcionalidade mais limitada, que ainda exige considerável intervenção humana.

Ritmo Acelerado de Desenvolvimento Sugere Expansão Futura

O Varonis Threat Labs tem monitorado o Bluekit por um período, inicialmente buscando identificar o kit em campanhas ativas. No entanto, o ritmo acelerado de atualizações e a constante adição de novos modelos e funcionalidades se tornaram um foco central da análise. Acompanhar essas mudanças revelou-se tão crucial quanto aguardar um ataque concreto.

Embora o Bluekit ainda esteja em desenvolvimento quando comparado a kits de phishing mais maduros, seu rápido progresso e a consolidação de ferramentas antes dispersas indicam um futuro promissor para os criminosos. A redução da barreira técnica para a execução de ataques de phishing em escala sugere que o Bluekit tem grande potencial para aparecer em futuras campanhas maliciosas, representando uma ameaça crescente no cenário da segurança cibernética.