🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais

Durante uma operação proativa de monitorização da dark web e de envolvimento com adversários, conduzida por CloudSek TRIAD, identificámos e analisámos uma plataforma comercial ativamente operada de Phishing-as-a-Service (PhaaS) a operar sob o nome BlueKit. A nossa investigação determinou que o BlueKit fornece uma infraestrutura de phishing completa, concebida para permitir campanhas de recolha de credenciais em larga escala, sequestro de sessões e tomada de controlo de contas, visando instituições financeiras, fornecedores de serviços na nuvem, plataformas de criptomoedas e grandes serviços de e-commerce a nível global.
A plataforma demonstra um elevado nível de maturidade operacional através de níveis de subscrição estruturados, painéis de gestão centralizados, implementação automatizada de phishing e ferramentas anti-deteção integradas. O BlueKit suporta modelos de phishing para várias marcas globais, incluindo instituições bancárias, Microsoft, Google, Amazon, Apple, GitHub e carteiras de criptomoedas, ao mesmo tempo que integra phishing por SMS em massa (smishing), notificações de vítimas em tempo real via Telegram, suporte a navegadores anti-deteção e fluxos de trabalho automatizados de pós-processamento de credenciais.
Uma descoberta significativa durante a nossa análise foi a recente migração da plataforma para um modelo de renderização de páginas de phishing peer-to-peer (P2P), concebido para ocultar a infraestrutura de phishing de backend de ferramentas de desenvolvimento de navegador e técnicas convencionais de análise de rede. Esta evolução aumenta substancialmente a resiliência contra deteção baseada em IOCs tradicionais, identificação de kits de phishing e esforços de atribuição de infraestrutura.
Com base na nossa avaliação, o BlueKit representa um ecossistema cibercriminoso maduro, escalável e comercialmente otimizado, capaz de reduzir significativamente a barreira técnica para atores de ameaças com pouca experiência, ao mesmo tempo que aumenta a furtividade operacional e a persistência. A plataforma representa uma ameaça crítica para ambientes de nuvem empresariais, instituições financeiras e contas de utilizadores de alto valor a nível global.

O BlueKit opera como um ecossistema cibercriminoso SaaS estruturado com indicadores claros de:
Os operadores utilizam:
A estrutura operacional da plataforma assemelha-se fortemente a modelos de negócios SaaS legítimos, incluindo:
O uso de infraestrutura .su, comunicações Jabber e ferramentas orientadas para OPSEC pode sugerir ligações a ecossistemas de cibercrime alinhados com a CEI; esta atribuição é também confirmada pela menção explícita de não se envolver com organizações baseadas na CEI.
Domínios Clearnet: bluekit[.]ws, bluekit[.]cc, bluekit[.]su, bluekit[.]pk
Serviço Tor: bluekitsmi6sd5mjurh3l7n7oeizbedoe2hw2lsljtb5nbxiul6hzkqd[.]onion.

Esquema completo extraído de `/_next/static/chunks/111d_ug--1sxq.js`. Todas as 29 tabelas, colunas, enums e relações foram expostas e algumas delas são :

Captura de tela do painel de mamutes (vítimas)