研究者が企業2FAプロトコルを回避可能な新しいオールインワン『Bluekit』フィッシングキットを発見…

Bluekitがサイバー犯罪を効率化

異なるベンダーからフィッシング攻撃の各コンポーネントを集約するのではなく、Bluekitはソフトウェアアズサービスプラットフォームと同様の方法で機能し、フィッシングワークフローを一元化および自動化するダッシュボードを備えており、潜在的に壊滅的なフィッシング攻撃へのエントリーの障壁を大幅に低下させている。

Bluekitはドメイン登録、サイトホスティング、データ流出を単一のパネルで処理し、iCloud、Apple ID、Gmail、Outlook、Hotmail、Yahoo、ProtonMail、GitHub、Twitter、Zoho、Zara、Ledgerを含む人気のあるグローバルプラットフォームのエミュレーションを提供している。このような広い範囲のターゲットを提供することで、攻撃者はターゲット間を素早くピボットでき、認識可能だが地域的なキャンペーンを実行でき、さらには同時に攻撃を実行することができる。

このプラットフォームはTelegramメッセージングアプリも統合しており、成功したデータ流出のリアルタイムアラートを提供している。

Varonisはまた、プラットフォームのAIアシスタントも調査した。彼らは、これがLlama、GPT-4.1、Sonnet 4、Gemini、DeepSeekの潜在的にジェイルブレイクされたバリアントである可能性があると述べている。テストでは、AIエージェントは説得力のあるローカライズされた罠を作成するためにほとんど修正を必要としない「スケルトン」フィッシングメールを作成することができた。通常、公式のAIモデルはフィッシングメールを作成する試みを拒否するが、ジェイルブレイクされたバージョンを使用することでこれらのガードレールが削除される。

認証情報を収集するために、Bluekitはセッションをハイジャックし、クッキーを抽出することができ、攻撃者が盗まれたアクティブなブラウザセッションを使用して認証されたユーザーを模倣することで、多要素認証（MFA）プロトコルをバイパスすることができる。プラットフォームはまた、攻撃者がログイン後にターゲットの画面のライブフィードを見て、偽のページをナビゲートすることを可能にしている。

自動化された攻撃が検出を回避するために、Bluekitはボット検出ツールを回避するために身を隠すことを可能にする機能も含まれており、ヘッドレスユーザーエージェント、ヘッドレス解像度、悪いフィンガープリント、プロキシ、および仮想プライベートネットワーク（VPN）へのサイトアクセスを防止することで分析チェックを防止することができる。デバイスアクセスはデスクトップまたはモバイルのみにフィルタリングすることもできる。

一部のプラットフォームでは、異常な場所からのログインがユーザーへのアラートをトリガーし、アカウントを保護するためのステップを示すことができる。これらの通知を防止するために、Bluekitの位置エミュレーション機能により、ログインが通常の場所からのものに見えるようにすることができる。

彼らのテスト中に、研究者はBluekitが新機能で積極的に更新されており、その能力を急速に拡張し、このキットを攻撃者にとってますます強力なツールにしていることに注目した。「機能セットは私たちが追跡するときに進化し続けており、このペースがより広い採用で続くならば、Bluekitは将来のキャンペーンで表面化する可能性が高い」と研究者は述べた。

AIがサイバー犯罪への参入の障壁を低下させているのと同様に、Bluekitなどのオールインワン攻撃プラットフォームも同様である。

これらの進化する脅威にはより効果的に抵抗するために、企業はFIDO2またはハードウェアキーを認証に採用すべきである。これらは多くの場合、事前に検証された環境内の認識されたデバイスを介して生体認証を使用してユーザーを検証し、位置詐称ログイン試行に対してはるかに耐性を持つようにしている。従業員トレーニングはまた、フィッシング攻撃を防止する最も効果的な方法の1つである。フィッシングメールを定期的にシミュレートすることで、従業員はより警戒し、疑わしいメールを認識することができるようになる。