Bluekit: Bộ công cụ Phishing mới tích hợp trợ lý AI và đăng ký tên miền tự động

Theo báo cáo từ Varonis, một bộ công cụ phishing (phishing kit) mới có tên Bluekit đã xuất hiện, cung cấp cho tội phạm mạng một loạt các khả năng mạnh mẽ, bao gồm cả một trợ lý AI và tính năng đăng ký tên miền tự động.

Bluekit Phishing Kit

Bluekit được quảng cáo là cung cấp hơn 40 mẫu trang web, hỗ trợ xác thực hai yếu tố (2FA), giả mạo vị trí địa lý, khả năng ẩn mình chống bot (antibot cloaking), thông báo, tính năng giả mạo (spoofing), sao chép giọng nói và công cụ gửi email.

Varonis cho biết bộ công cụ này chứa các mẫu cho các dịch vụ email và đám mây, nền tảng dành cho nhà phát triển, dịch vụ tiền điện tử, cũng như các nền tảng bán lẻ và mạng xã hội. Các mục tiêu phổ biến bao gồm Apple ID, iCloud, GitHub, Gmail, Hotmail, Ledger, ProtonMail, Outlook, Zara và Zoho.

Bảng điều khiển và Tự động hóa

Các nhà nghiên cứu tại Varonis đã tiếp cận được bảng điều khiển của Bluekit, nơi cho thấy các chức năng quản lý việc tạo và thiết lập tên miền, nhật ký hoạt động, chuyển phát và hỗ trợ chiến dịch. Đáng chú ý, bộ công cụ này sử dụng Telegram làm kênh mặc định để đánh cắp dữ liệu.

"Những người vận hành có thể mua hoặc kết nối tên miền ngay từ giao diện được sử dụng để quản lý các trang phishing và nhật ký đã bắt được, thay vì phải chia sẻ công việc này qua các dịch vụ riêng biệt," Varonis nhận định.

Bảng điều khiển cho phép người dùng chọn tên miền, chọn thương hiệu hoặc dịch vụ mục tiêu, chọn chế độ hoạt động và kiểm soát hành vi của trang web liên quan đến phát hiện đăng nhập, chuyển hướng, kiểm tra chống phân tích, giả mạo, bộ lọc thiết bị và cài đặt proxy.

Trợ lý AI và Theo dõi phiên làm việc

Ngoài việc hỗ trợ theo dõi trạng thái phiên (session state), Bluekit còn lưu trữ các bản đổ cookies và bộ nhớ cục bộ (local storage dumps), đồng thời cung cấp chế độ xem trực tiếp dữ liệu phiên đã đăng nhập. Điều này cho thấy bộ công cụ này xử lý nhiều hơn việc chỉ lấy thông tin đăng nhập cơ bản.

AI Assistant

Điểm nổi bật nhất là Trợ lý AI tích hợp trong Bluekit. Trợ lý này có bảng điều khiển riêng và cung cấp nhiều tùy chọn mô hình, có khả năng truy cập thông qua các phiên bản AI đã bị bẻ khóa (jailbroken) hoặc có quyền hạn rộng rãi. Khi được kiểm thử, trợ lý này đã cung cấp một bản dự thảo chiến dịch có cấu trúc với các phần giữ chỗ thay vì nội dung có thể sử dụng ngay lập tức.

Theo Varonis, nhà phát triển của Bluekit đang tung ra các bản cập nhật tính năng và mẫu với tốc độ nhanh chóng, tuy nhiên bộ công cụ phishing này vẫn chưa được sử dụng trong bất kỳ chiến dịch thực tế nào.

"So sánh với các bộ công cụ phishing tương tự đã phát triển xa hơn về mặt tự động hóa và sự tiện lợi cho người vận hành, Bluekit dường như vẫn là một bộ công cụ đang trong quá trình phát triển tích cực. Tập hợp tính năng liên tục phát triển theo thời gian chúng tôi theo dõi, và nếu tốc độ này tiếp tục cùng với việc được chấp nhận rộng rãi hơn, Bluekit rất có khả năng sẽ xuất hiện trong các chiến dịch trong tương lai," Varonis kết luận.