Voltar
Tabela de conteúdo

Durante uma operação proativa de monitorização da dark web e de envolvimento com adversários, conduzida por CloudSek TRIAD, identificámos e analisámos uma plataforma comercial ativamente operada de Phishing-as-a-Service (PhaaS) a operar sob o nome BlueKit. A nossa investigação determinou que o BlueKit fornece uma infraestrutura de phishing completa, concebida para permitir campanhas de recolha de credenciais em larga escala, sequestro de sessões e tomada de controlo de contas, visando instituições financeiras, fornecedores de serviços na nuvem, plataformas de criptomoedas e grandes serviços de e-commerce a nível global.

A plataforma demonstra um elevado nível de maturidade operacional através de níveis de subscrição estruturados, painéis de gestão centralizados, implementação automatizada de phishing e ferramentas anti-deteção integradas. O BlueKit suporta modelos de phishing para várias marcas globais, incluindo instituições bancárias, Microsoft, Google, Amazon, Apple, GitHub e carteiras de criptomoedas, ao mesmo tempo que integra phishing por SMS em massa (smishing), notificações de vítimas em tempo real via Telegram, suporte a navegadores anti-deteção e fluxos de trabalho automatizados de pós-processamento de credenciais.

Uma descoberta significativa durante a nossa análise foi a recente migração da plataforma para um modelo de renderização de páginas de phishing peer-to-peer (P2P), concebido para ocultar a infraestrutura de phishing de backend de ferramentas de desenvolvimento de navegador e técnicas convencionais de análise de rede. Esta evolução aumenta substancialmente a resiliência contra deteção baseada em IOCs tradicionais, identificação de kits de phishing e esforços de atribuição de infraestrutura.

Com base na nossa avaliação, o BlueKit representa um ecossistema cibercriminoso maduro, escalável e comercialmente otimizado, capaz de reduzir significativamente a barreira técnica para atores de ameaças com pouca experiência, ao mesmo tempo que aumenta a furtividade operacional e a persistência. A plataforma representa uma ameaça crítica para ambientes de nuvem empresariais, instituições financeiras e contas de utilizadores de alto valor a nível global.

Detalhes da Ameaça

O BlueKit opera como um ecossistema cibercriminoso SaaS estruturado com indicadores claros de:

  • planeamento operacional a longo prazo,
  • capacitação de afiliados,
  • automação de infraestruturas,
  • gestão de suporte ao cliente,
  • otimização de receita.

Os operadores utilizam:

  • Telegram,
  • Jabber/XMPP,
  • Protocolo de Sessão,
  • criptografia PGP,
  • infraestrutura Tor,
  • pagamentos apenas em criptomoeda.

A estrutura operacional da plataforma assemelha-se fortemente a modelos de negócios SaaS legítimos, incluindo:

  • versionamento de produtos,
  • registros de alterações,
  • canais de suporte,
  • níveis de assinatura,
  • programas de revenda,
  • ferramentas de automação.

O uso de infraestrutura .su, comunicações Jabber e ferramentas orientadas para OPSEC pode sugerir ligações a ecossistemas de cibercrime alinhados com a CEI; esta atribuição é também confirmada pela menção explícita de não se envolver com organizações baseadas na CEI.

Análise da Infraestrutura

Domínios Clearnet: bluekit[.]ws, bluekit[.]cc, bluekit[.]su, bluekit[.]pk

Serviço Tor: bluekitsmi6sd5mjurh3l7n7oeizbedoe2hw2lsljtb5nbxiul6hzkqd[.]onion.

Infrastructure property Details
DNS Provider Cloudflare
Nameservers fish.ns.cloudflare.com / osmar.ns.cloudflare.com
Cloudflare Analytics Token 2f08ce5a60ec42ffaaac5c46ba18bac8
Hosting Jurisdiction Dominican Republic
Registrar Integration Luxhost
CAPTCHA Solver CapSolver
AI Integration NanoGPT
Anti-Detect Browser Octo Browser
Platform ID si5xclgoe0pl5yd5zsfaik8k
```

Captura de tela do Painel de Infraestrutura Bluekit

Esquema Completo do Banco de Dados

Esquema completo extraído de `/_next/static/chunks/111d_ug--1sxq.js`. Todas as 29 tabelas, colunas, enums e relações foram expostas e algumas delas são :

  1. Mamutes (Registros de Vítimas) : Repositório principal de dados de vítimas coletados, incluindo credenciais e identificadores.
Field Description
id Primary key
siteId (FK) Associated site
customerId (FK) Associated operator account
latestIdentifier Latest captured identifier (FTS indexed)
latestPassword Latest captured password (FTS indexed)
latestUrl Latest captured URL (FTS indexed)
status success, pending, failed
createdAt Creation timestamp
updatedAt Last update timestamp
```


Captura de tela do painel de mamutes (vítimas)

  1. Clientes (Contas de Operadores): Identifica operadores e administradores da plataforma e expõe dados relacionados à autenticação.

Gagan Aggarwal
Nenhum item encontrado.

Blogs relacionados