Rischio Bluekit: il kit phishing AI che bypassa l'MFA

Scopri come Bluekit, il nuovo kit di phishing AI, sfrutta Evilginx per bypassare l'MFA su oltre 40 piattaforme. Ecco cosa sapere per proteggersi.

Contenuto

Rischio Bluekit: il kit phishing AI che bypassa l'MFA
Rischio Bluekit: il kit phishing AI che bypassa l'MFA

Con oltre 40 template di phishing dedicati alle piattaforme globali, la minaccia rappresentata da Bluekit sta acquisendo una rilevanza significativa nel panorama della cybersecurity. Un threat actor noto come petrushka sta commercializzando questa piattaforma Phishing-as-a-Service (PhaaS) da aprile 2026, sfruttando l'intelligenza artificiale per abbassare drasticamente la soglia di accesso al bypass dell'autenticazione a più fattori (MFA).

L'evoluzione del modello Phishing-as-a-Service

Le piattaforme PhaaS hanno trasformato l'economia della cybercriminalità, permettendo anche a soggetti con competenze tecniche limitate di lanciare campagne sofisticate. In questo contesto, la comparsa di Bluekit segna un passaggio rilevante per l'integrazione di strumenti avanzati. Come riferito da Dark Web Informer, "A threat actor operating under the alias petrushka is selling a phishing-as-a-service (PhaaS) platform called Bluekit." La disponibilità di questo kit sul mercato indica una professionalizzazione ulteriore dell'offerta criminale.

La novità sostanziale risiede nell'integrazione nativa dell'intelligenza artificiale. Bluekit non si limita a fornire pagine di login falsificate, ma include un vero e proprio pannello di controllo per un AI Assistant. Questo suggerisce una transizione verso un modello in cui l'automazione guidata dai modelli linguistici facilita la personalizzazione degli attacchi, la gestione delle interazioni con le vittime e l'adattamento in tempo reale alle contromisure di sicurezza.

L'infrastruttura AI: modelli linguistici a servizio del crimine

L'elemento tecnicamente più rilevante di Bluekit è la sua architettura AI. Il kit espone molteplici opzioni di modelli linguistici, permettendo agli attaccanti di selezionare il motore più adatto per le proprie esigenze operative. Il modello predefinito è una variante "abliterated" di Llama, ovvero una versione modificata per rimuovere le restrizioni di sicurezza e i filtri etici tipicamente imposti dagli sviluppatori originali.

Oltre al modello Llama di base, il pannello AI offre l'accesso a GPT-4.1, Claude Sonnet 4, Gemini e varianti di DeepSeek. È probabile che questa molteplicità di opzioni serva a ottimizzare il costo e la latenza delle interazioni: modelli più leggeri per la gestione delle comunicazioni di routine con la vittima, e modelli avanzati per superare controlli di sicurezza più stringenti o per generare testi ingannevoli di alta qualità. La presenza di un'interfaccia dedicata suggerisce che l'AI non sia un mero accessorio, ma il core operativo per la generazione e l'adattamento delle frodi.

Bypass MFA tramite Adversary-in-the-Middle e Evilginx

La capacità di superare l'autenticazione a più fattori rappresenta il vettore d'attacco più critico di Bluekit. Il kit implementa tecniche di Adversary-in-the-Middle (AiTM) basate su Evilginx, un tool noto per il proxying delle sessioni di autenticazione. Quando la vittima inserisce le credenziali e il token MFA sulla pagina di phishing falsificata, Evilginx inoltra queste informazioni in tempo reale al server legittimo.

Il server legittimo restituisce un cookie di sessione valido, che Evilginx intercetta e trasmette all'attaccante. Bluekit arricchisce questo schema con funzionalità avanzate di spoofing del browser e geolocalizzazione. Questo significa che il kit può falsificare l'impronta digitale del browser e la posizione geografica percepita dell'attaccante, rendendo la sessione dirottata apparentemente identica a quella legittima. È probabile che questo livello di sofisticazione serva specificamente a eludere i sistemi di anomaly detection basati sull'analisi del contesto di accesso.

Target e impatto sulle piattaforme globali

La versatilità di Bluekit è evidente nella quantità e qualità dei target preconfigurati. Il servizio offre oltre 40 template pronti all'uso, in grado di replicare le interfacce di brand di alto profilo. Le piattaforme prese di mira spaziano dai servizi email e cloud aziendali a quelli consumer, fino ad arrivare al settore retail e alle infrastrutture crittografiche.

L'elenco dei target identificati include iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara e Ledger. L'inclusione di servizi come GitHub e Zoho indica un focus strategico sull'infrastruttura di sviluppo e sulla produttività enterprise, dove il furto di sessioni può aprire accessi a repository di codice o documentazione sensibile. Parallelamente, la presenza di Ledger e iCloud suggerisce un interesse mirato verso i portafogli digitali e gli archivi personali ad alto valore.

Automazione della catena di attacco e gestione delle infrastrutture

Bluekit si distingue per il livello di automazione offerto nell'infrastruttura operativa. Il kit gestisce automaticamente la registrazione dei domini, riducendo il carico operativo per l'attaccante e permettendo una rapida rotazione delle URL malevole per evitare i filtri di reputazione e i blacklists. Questo approccio "all-in-one" abbassa drasticamente la barriera all'ingresso per i criminali informatici non esperti.

Gli operatori non necessitano di configurare manualmente i server DNS, i certificati SSL o le regole di routing di rete. La combinazione di domini freschi, spoofing tecnico preciso e assistenza AI per l'ingegneria sociale crea un ecosistema altamente efficiente per il furto di credenziali e l'intercettazione delle sessioni autenticate, accelerando il ciclo di vita dell'attacco.

Limiti nella verifica delle fonti e considerazioni difensive

È necessario sottolineare che alcune fonti primarie hanno restituito errori di blocco (HTTP 451) o timeout durante il processo di verifica incrociata, impedendo l'analisi di ulteriori dettagli tecnici specifici presenti in quegli articoli. Di fronte alla mancanza di patch specifiche comunicate dai vendor per mitigare direttamente questo kit, le strategie di difesa devono concentrarsi sull'isolamento e la segmentazione.

È essenziale limitare l'esposizione Internet dei dispositivi e dei servizi di autenticazione, implementando controlli rigorosi sul contesto di accesso. L'adozione di chiavi di sicurezza hardware basate su FIDO2/WebAuthn, che legano l'autenticazione al dominio specifico e resistono agli attacchi AiTM tramite proxy, rappresenta una misura prioritaria rispetto ai codici OTP temporanei che possono essere intercettati in tempo reale.

Domande frequenti

Come funziona il kit di phishing Bluekit?
Bluekit è una piattaforma Phishing-as-a-Service che utilizza tecniche Adversary-in-the-Middle (AiTM) basate su Evilginx. Intercetta credenziali e sessioni MFA in tempo reale, supportato da un'interfaccia AI per automatizzare e personalizzare gli attacchi.
Come bypassa l'MFA Bluekit?
Il kit bypassa l'MFA intercettando il cookie di sessione generato dopo l'autenticazione a più fattori sulla piattaforma legittima. Utilizza inoltre lo spoofing del browser e della geolocalizzazione per eludere i controlli di anomalia sull'accesso.
Quali piattaforme prende di mira Bluekit?
Bluekit offre oltre 40 template che prendono di mira servizi principali come iCloud, Gmail, Outlook, GitHub, Zoho, Twitter e Ledger, coprendo ambiti che vanno dalla posta elettronica allo sviluppo software, fino alla gestione di criptovalute.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews