Het phishingplatform Bluekit blijft zich ontwikkelen en heeft recent bijna 70 nieuwe hostnamen toegevoegd, naast de introductie van browser-in-the-middle (BitM) functionaliteit voor verbeterde datadiefstal. Deze techniek, voor het eerst gedocumenteerd door onderzoekers van Varonis in april, stelt aanvallers in staat om via een door hen gecontroleerde browser sessie legitieme inlogpagina's te laden en zo inloggegevens in real-time te onderscheppen.

Bluekit biedt een AI-assistent die meerdere grote taalmodellen ondersteunt, waaronder Llama, GPT-4.1, Claude, Gemini en DeepSeek, om phishingmails te genereren. Voorheen bood de kit 40 verschillende templates gericht op populaire diensten zoals Outlook, Gmail, Yahoo, ProtonMail, iCloud, GitHub en Ledger. Volgens een nieuw rapport van het digitale risicobeschermingsbedrijf Netcraft is Bluekit overgestapt van een traditionele adversary-in-the-middle naar een BitM-aanvalsmethode. Hierbij wordt de open-source JavaScript-bibliotheek rrweb gebruikt om de pagina-structuur te serialiseren en via een WebSocket-verbinding naar het slachtoffer te streamen.

In een BitM-aanval bestuurt de aanvaller de browser sessie, waarbij de echte inlogpagina wordt geladen en alle verzoeken en reacties tussen het slachtoffer en de doelservice worden doorgestuurd. Hoewel rrweb een legitiem project is voor sessiereplay en analytics, kan de aanwezigheid ervan in een webomgeving zonder context een aanwijzing zijn voor misbruik. Beelden, lettertypen en CSS worden via de phishinginfrastructuur geladen, terwijl de invoer van het slachtoffer wordt doorgestuurd naar de browser van de aanvaller. De keuze voor rrweb is gebaseerd op de hoge visuele nauwkeurigheid, real-time interactiviteit en efficiënte bandbreedte, al is er enige vertraging merkbaar, wat zich kan uiten in input- en klikvertragingen op de inlogpagina’s.

De authenticatie wordt volledig in de browser van de aanvaller afgerond, waardoor deze een geldige sessietoken verkrijgt en onbeperkte toegang krijgt tot het account van het slachtoffer. De BitM-aanvalsmethode is sinds 2022 bekend en werd oorspronkelijk ontwikkeld door onderzoeker mr.d0x, waarna deze later door kwaadwillenden werd overgenomen. Bluekit maakt gebruik van een uitgebreid systeem om echte slachtoffers te onderscheiden van onderzoekers of beveiligingscrawlers, met anti-analyse technieken zoals gerandomiseerde CSS-filters, een grote en regelmatig veranderende geobfusceerde JavaScript-bundel, aangepaste CAPTCHA’s, browser fingerprinting en WebRTC-gebaseerde IP mismatch detectie.

Daarnaast blijft de live monitoringfunctie met een update-interval van vijf seconden, eerder beschreven door Varonis, beschikbaar in Bluekit. Hiermee kunnen operators slachtoffers volgen tijdens de misleidende inlogsessies en hun acties na het inloggen monitoren. Het rapport van de onderzoekers bevat indicatoren die met Bluekit geassocieerd worden, zoals CSS-filtermanipulatie, periodiek roterende geobfusceerde JavaScript, browser fingerprint checks, een WebSocket-verbinding die versleutelde of binaire data verzendt en WebRTC IP mismatch detectie, maar deze vormen op zichzelf geen directe aanwijzingen voor compromittering.

Voor organisaties die zich willen wapenen tegen geavanceerde phishing, business email compromise en account takeover aanvallen, organiseert BleepingComputer een webinar met Abnormal getiteld Stop chasing alerts: Automating email security with behavioral AI. Dit webinar behandelt hoe gedragsmatige AI kan helpen bij het detecteren en afhandelen van moderne phishingaanvallen, het automatiseren van onderzoeken en het verminderen van de operationele last door alertmoeheid en steeds geavanceerdere social engineering campagnes.