Pesquisadores do Varonis Threat Labs identificaram um novo kit de phishing chamado Bluekit, que reúne em um único painel ferramentas antes comercializadas separadamente no mercado criminoso.

O kit inclui mais de 40 modelos de páginas falsas, registro automatizado de domínios, suporte a bypass de autenticação em dois fatores e um assistente de inteligência artificial integrado.

A descoberta foi publicada em relatório pelo Varonis Threat Labs. O Bluekit ainda está em desenvolvimento ativo, mas já apresenta um conjunto de funcionalidades que o posiciona como uma plataforma completa de phishing.

Painel centraliza toda a operação em uma só interface

O dashboard do Bluekit reúne criação de campanhas, registro de domínios, gerenciamento de credenciais capturadas e envio de dados roubados via Telegram. Isso significa que o operador não precisa recorrer a serviços separados para cada etapa do ataque. Tudo é controlado a partir de uma única interface.

Na etapa de criação de sites falsos, o operador escolhe o domínio, o modo de operação e a marca alvo. Os modelos disponíveis cobrem provedores de e-mail, plataformas para desenvolvedores, redes sociais, varejo e serviços de criptomoedas. A lista inclui iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara e Ledger.

Controle granular define o que acontece após o clique

O kit expõe configurações detalhadas para cada página criada. O operador define redirecionamentos, bloqueios por geolocalização, filtros por dispositivo e verificações anti-análise que dificultam a identificação por pesquisadores de segurança. 

O Bluekit também suporta spoofing e emulação de geolocalização, o que permite simular origens diferentes para a mesma página maliciosa.

A ferramenta rastreia sessões em tempo real e armazena cookies e dados do armazenamento local do navegador. O painel mantém uma visualização ao vivo do que a vítima vê após o login. Isso porque o objetivo não é apenas capturar credenciais, mas manter acesso à sessão ativa.

Assistente de IA oferece múltiplos modelos, mas só um funciona

O Bluekit traz um painel dedicado ao assistente de IA com múltiplas opções de modelo. A lista inclui um Llama "abliterado" como padrão, além de GPT-4.1, Claude Sonnet 4, Gemini e variantes do DeepSeek. 

Nos testes realizados pelos pesquisadores, apenas o Llama padrão estava funcional. Os demais apareciam na interface, mas exigiam configuração adicional não disponível durante a análise.

Mesmo assim, a presença dos modelos comerciais é relevante. Se ativados na prática, é provável que estejam sendo acessados por meio de instâncias com restrições removidas, já que uma configuração padrão bloquearia esse tipo de solicitação.

IA gera rascunhos de campanha, não ataques prontos

Os pesquisadores testaram o assistente com um cenário real: uma campanha direcionada ao CISO de uma empresa fictícia, com isca de revalidação de MFA no Microsoft 365, QR code e página de coleta de credenciais. O resultado foi um rascunho estruturado, mas repleto de campos genéricos e placeholders que precisariam de edição manual antes de qualquer uso.

O assistente funciona basicamente como um gerador de esqueletos de campanha. Ele não entrega uma operação pronta. Os pesquisadores esperavam algo próximo de um copiloto de phishing completo. O que receberam foi muito mais limitado.

Ritmo acelerado de atualizações indica expansão futura

O Varonis acompanha o Bluekit há algum tempo. No início, o objetivo era identificar o kit em uma campanha ativa. Com o tempo, o ritmo de atualizações passou a ser parte central da análise. Novos modelos e funcionalidades foram adicionados com frequência suficiente para que rastrear as mudanças se tornasse tão importante quanto aguardar um ataque concreto.

Comparado a kits similares mais maduros, o Bluekit ainda está em desenvolvimento. Mas se o ritmo atual continuar e a adoção crescer, é provável que apareça em campanhas futuras. A consolidação de ferramentas antes separadas em um único painel reduz a barreira técnica para executar ataques de phishing em escala.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.