- Painel do Bluekit centraliza criação de campanhas, registro de domínios, credenciais capturadas e envio de dados via Telegram, tudo em uma única interface.
- Na criação de sites falsos, o operador escolhe domínio, modo de operação e marca alvo, com modelos para e-mail, redes sociais, varejo e serviços, como iCloud, Gmail, Zara e Ledger.
- O kit oferece geolocalização falsa, bloqueios por dispositivo e verificações anti-análise, além de rastrear sessões e armazenar cookies para manter acesso à sessão após o login.
- O assistente de IA do Bluekit apresenta múltiplos modelos, mas apenas o Llama padrão funciona na prática; modelos comerciais aparecem na interface, porém com limitações durante testes.
- Em testes, a IA gerou apenas rascunhos de campanha com placeholders, não ataques prontos, sugerindo necessidade de edição manual antes de uso.
Dois pesquisadores do Varonis Threat Labs analisaram o painel do Bluekit, um kit de golpes digitais que utiliza IA, e testaram o assistente de IA integrado. O objetivo era entender como a ferramenta facilita campanhas de phishing e clonagem de voz, sem executar ataques reais.
O painel central do Bluekit concentra criação de sites falsos, registro de domínios, gerenciamento de credenciais e envio de dados via Telegram. Tudo ocorre através de uma única interface, simplificando etapas antes distribuídas entre serviços distintos.
Na prática, o operador escolhe o domínio, o modo de operação e a marca a imitar. Entre os modelos disponíveis estão serviços de e-mail, redes sociais, varejo e criptomoedas, incluindo iCloud, Gmail, Google, Zara e Ledger. A seleção determina o alvo da campanha.
O sistema oferece controle granular após o clique, com redirecionamentos, filtros por geolocalização e dispositivos, além de verificações anti-análise para dificultar a detecção por pesquisadores. Também há spoofing e emulação de geolocalização para simular origens diversas.
A ferramenta rastreia sessões em tempo real, armazena cookies e dados do armazenamento local e oferece visualização ao vivo do que a vítima vê após o login. O objetivo não é apenas capturar credenciais, mas manter o acesso à sessão da vítima.
No conjunto de IA, o Bluekit disponibiliza vários modelos no painel, entre eles um Llama padrão e opções como GPT-4.1, Claude Sonnet 4 e Gemini. Em testes, apenas o modelo padrão estava operacional; os demais exigiam configuração não disponível no momento.
Os pesquisadores observaram que os modelos comerciais, se ativados, provavelmente operam por meio de instâncias com restrições removidas. Mesmo assim, a diversidade de opções indica potencial de expansão futura do kit.
Em um cenário de teste, o assistente gerou um esqueleto de campanha para uma suposta revalidação de MFA no Microsoft 365, com QR code e coleta de credenciais. O resultado continha muitos campos genéricos que exigiriam edição manual.
O estudo também aponta que o Bluekit gera rascunhos, não ataques prontos, funcionando como um copiloto de campanha. A atual versão não entrega operações completas, mas oferece indícios de como a ferramenta pode evoluir.
Ritmo de atualização do Bluekit é alto: novas funções e modelos são incorporados com frequência, o que torna o monitoramento das mudanças tão relevante quanto observar ataques reais. A tendência sugere expansão para campanhas futuras.
Detalhes do funcionamento
A plataforma centraliza etapas, reduzindo a necessidade de usar várias ferramentas. A emissão de domínios, a configuração de campanhas e o envio de dados seguem por meio de uma única linha de comando visual, facilitando a escalabilidade de golpes.
Perspectivas e cautelas
Especialistas destacam que o kit já demonstra como a IA pode ampliar a eficiência de phishing. Mesmo não sendo utilizado em produção, o potencial de uso indevido reforça a importância de aprimorar detecção, autenticação multifator e monitoramento de acessos.
Entre na conversa da comunidade