Bluekit rozwija phishing-as-a-service i wdraża Browser-in-the-Middle do kradzieży sesji logowania - Security Bez Tabu

Bluekit rozwija phishing-as-a-service i wdraża Browser-in-the-Middle do kradzieży sesji logowania

Cybersecurity news

Wprowadzenie do problemu / definicja

Bluekit to platforma phishing-as-a-service, która upraszcza prowadzenie kampanii służących do wyłudzania danych logowania do popularnych usług internetowych. Najnowszy etap rozwoju tego zestawu pokazuje jednak wyraźne odejście od prostego phishingu formularzowego na rzecz bardziej zaawansowanego modelu Browser-in-the-Middle, w którym ofiara nie komunikuje się bezpośrednio z prawdziwą stroną logowania, ale z sesją przeglądarki kontrolowaną przez napastnika.

To istotna zmiana jakościowa, ponieważ celem ataku przestaje być wyłącznie hasło. W praktyce przestępcy mogą przechwycić również aktywną, już uwierzytelnioną sesję użytkownika, co znacząco zwiększa szansę na skuteczne przejęcie konta i ominięcie części tradycyjnych mechanizmów ochronnych.

W skrócie

  • Bluekit rozszerzył swoje możliwości o technikę Browser-in-the-Middle.
  • Atak polega na pośredniczeniu w całym procesie logowania za pomocą zdalnej sesji przeglądarki kontrolowanej przez napastnika.
  • Mechanizm może umożliwić przejęcie tokenów sesyjnych, a nie tylko samych poświadczeń.
  • Zestaw wykorzystuje rozbudowane techniki antyanalityczne, w tym fingerprinting, wykrywanie środowisk badawczych i zaciemniony kod JavaScript.
  • Dla organizacji oznacza to wzrost ryzyka account takeover, BEC, wycieków danych i dalszej eskalacji ataku.

Kontekst / historia

Bluekit był wcześniej opisywany jako nowoczesna usługa phishingowa oferująca gotowe szablony kampanii wymierzone w usługi pocztowe, platformy chmurowe i inne usługi przetwarzające dane o wysokiej wartości. W poprzednich wersjach narzędzie wyróżniało się między innymi obecnością asystenta AI do przygotowywania wiadomości phishingowych oraz szerokim zestawem szablonów podszywających się pod znane marki i dostawców usług.

Obecna ewolucja wskazuje, że operatorzy tej platformy idą dalej niż klasyczny model adversary-in-the-middle. W modelu Browser-in-the-Middle użytkownik widzi wiarygodnie odwzorowaną stronę logowania, ale rzeczywista interakcja zachodzi w zdalnej przeglądarce uruchomionej przez napastnika. Dzięki temu ofiara ma wrażenie korzystania z legalnej witryny, podczas gdy całe uwierzytelnienie odbywa się w środowisku kontrolowanym przez cyberprzestępcę.

Analiza techniczna

Centralnym elementem nowej odsłony Bluekit jest wykorzystanie biblioteki rrweb. To legalne narzędzie służące do rejestrowania i odtwarzania sesji użytkownika w aplikacjach internetowych, jednak w tym przypadku zostało zaadaptowane do serializacji drzewa DOM i przesyłania stanu strony przez połączenia WebSocket. W efekcie napastnik może w czasie zbliżonym do rzeczywistego odwzorować stronę logowania i przekazać jej widok ofierze.

Model działania można uprościć do kilku etapów. Najpierw operator uruchamia po swojej stronie prawdziwą witrynę logowania w zdalnej sesji przeglądarki. Następnie Bluekit przesyła ofierze obraz i stan tej strony, a działania użytkownika, takie jak wpisywanie loginu, hasła czy zatwierdzanie formularza, trafiają z powrotem do sesji kontrolowanej przez atakującego. Statyczne zasoby, takie jak obrazy, fonty i arkusze CSS, mogą być dodatkowo obsługiwane przez infrastrukturę phishingową, co utrudnia wykrycie pośrednictwa.

Po pomyślnym zalogowaniu napastnik uzyskuje dostęp do ważnej sesji aplikacyjnej. To właśnie ten element sprawia, że atak jest szczególnie niebezpieczny dla usług opartych na tokenach sesyjnych, kont pocztowych, paneli administracyjnych, środowisk SaaS, repozytoriów kodu czy systemów finansowych.

Bluekit wdraża przy tym szeroki zestaw funkcji antyanalitycznych. Obejmuje on losowe filtry CSS utrudniające detekcję opartą na analizie obrazu, duże i często rotujące zaciemnione paczki JavaScript, własne mechanizmy CAPTCHA przypominające legalne rozwiązania ochronne oraz fingerprinting środowiska użytkownika. Analizowane mogą być takie elementy jak rozdzielczość ekranu, język przeglądarki, cechy sprzętowe, obecność trybu headless czy narzędzi ograniczających fingerprinting. Dodatkowo wykrywane są niespójności związane z adresem IP i wykorzystaniem WebRTC, co pomaga identyfikować środowiska badawcze, VPN-y i proxy.

Istotnym komponentem pozostaje również mechanizm kwalifikacji ofiar. Zanim użytkownik zostanie dopuszczony do właściwego etapu logowania, zestaw stara się odfiltrować analityków bezpieczeństwa, crawlery i skanery automatyczne. W praktyce oznacza to, że próbki obserwowane przez zespoły obronne mogą być niepełne, krótkotrwałe lub trudne do powtórzenia.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem ataku Browser-in-the-Middle jest przejęcie uwierzytelnionej sesji, a nie tylko danych logowania. Z perspektywy obrońcy oznacza to, że samo wdrożenie uwierzytelniania wieloskładnikowego nie zawsze będzie wystarczające, jeżeli użytkownik sam uwierzytelni sesję, z której korzysta napastnik.

Dla organizacji ryzyko obejmuje przede wszystkim account takeover, business email compromise, kradzież dokumentów, eskalację dostępu w środowisku firmowym oraz wykorzystanie przejętych kont do kolejnych kampanii phishingowych. Szczególnie narażone są skrzynki pocztowe, tożsamości korporacyjne, konta administracyjne oraz usługi chmurowe zintegrowane z systemami biznesowymi.

Trudność rośnie także po stronie detekcji. Obecność technologii takich jak rrweb czy WebSocket sama w sobie nie jest jednoznacznym wskaźnikiem kompromitacji, ponieważ są one legalnie stosowane w nowoczesnych aplikacjach webowych. Dlatego skuteczna identyfikacja ataku wymaga korelacji wielu subtelnych sygnałów, takich jak nietypowe łańcuchy ładowania zasobów, rotujący kod po stronie klienta, anomalie w logowaniu czy opóźnienia w interakcji użytkownika z formularzem.

Rekomendacje

Organizacje powinny traktować Bluekit i podobne zestawy jako narzędzia przeznaczone do przejmowania sesji, a nie wyłącznie poświadczeń. Odpowiedź obronna musi więc obejmować zarówno ochronę początkowego procesu logowania, jak i późniejsze monitorowanie zachowania sesji.

  • Wzmacniać monitoring logowań i sesji, analizując zmiany adresów IP, nietypowe User-Agenty, rozbieżności geolokalizacyjne i anomalie czasowe po uwierzytelnieniu.
  • Stosować polityki warunkowego dostępu oraz ocenę ryzyka sesji w czasie rzeczywistym.
  • Ograniczać skuteczność przejętych sesji przez krótszy czas życia tokenów, częstsze ponowne uwierzytelnianie i dodatkowe kontrole dla operacji wysokiego ryzyka.
  • Rozszerzać reguły SOC o sygnały charakterystyczne dla BitM, takie jak podejrzane połączenia WebSocket na stronach logowania, nietypowe CAPTCHA i złożone, rotujące paczki JavaScript.
  • Szkolić użytkowników w rozpoznawaniu subtelnych objawów pośrednictwa, a nie tylko fałszywych domen.
  • Wzmacniać ochronę poczty przez analizę behawioralną, izolację linków, sandboxing oraz egzekwowanie DMARC, SPF i DKIM.

Podsumowanie

Rozwój Bluekit pokazuje, że phishing-as-a-service dojrzewa do poziomu komercyjnego narzędzia ofensywnego, które łączy wysoką użyteczność dla operatorów z zaawansowanymi mechanizmami unikania detekcji. Wdrożenie Browser-in-the-Middle zwiększa skuteczność przejmowania kont, ponieważ atak koncentruje się na aktywnej sesji użytkownika, a nie tylko na haśle.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona oparta wyłącznie na filtrowaniu wiadomości i klasycznym MFA nie jest już wystarczająca. Nowa generacja phishingu wymaga większej uwagi na poziomie sesji, analizy ryzyka w czasie rzeczywistym i korelacji wielu drobnych wskaźników technicznych.

Źródła

  1. https://www.bleepingcomputer.com/news/security/bluekit-phishing-kit-adopts-browser-in-the-middle-for-login-theft/
  2. https://www.netcraft.com/blog/bluekit-phishing-kit-evolves-with-browser-in-the-middle-capabilities/
  3. https://www.bleepingcomputer.com/news/security/new-bluekit-phishing-service-includes-an-ai-assistant-40-templates/
  4. https://mrd0x.com/browser-in-the-middle-phishing-attack/
  5. https://www.rrweb.io/