Novo serviço de phishing Bluekit dribla autenticação multifator e expõe contas Microsoft
Uma nova plataforma de Phishing como Serviço (PhaaS), batizada de Bluekit, deixou de ser um experimento em desenvolvimento para se tornar uma ameaça madura e amplamente ativa. De acordo com levantamentos recentes da Netcraft, cerca de 70 hosts associados ao serviço foram identificados em operação em apenas uma semana, o que indica um ecossistema já consolidado e em rápida expansão.
Inicialmente descrito pelo Varonis Threat Labs como uma ferramenta ainda em fase inicial, o Bluekit evoluiu para um sistema de ataque completo, com foco especial em contas Microsoft. O objetivo central é simples e extremamente perigoso: contornar a autenticação multifator (MFA) e capturar, em tempo real, credenciais e sessões de login válidas.
Do AitM ao BitM: a mudança de paradigma
Ferramentas tradicionais como Evilginx se baseiam no modelo de ataque “adversário no meio” (AitM), em que o tráfego entre o usuário e o site legítimo é interceptado por um proxy reverso controlado pelo criminoso. Nesses cenários, a vítima acessa uma cópia idêntica do site verdadeiro, hospedada em servidores maliciosos, que repassam dados para o destino real.
O Bluekit, porém, dá um passo além ao adotar uma arquitetura de “navegador no meio” (BitM – Browser-in-the-Middle). Em vez de clonar ou fazer proxy da página de login, a plataforma abre a página oficial da Microsoft dentro de um navegador totalmente controlado pelo atacante e transmite essa interface, ao vivo, para o usuário.
Para isso, o serviço utiliza o rrweb, uma biblioteca JavaScript de código aberto voltada originalmente para gravação e reprodução de sessões, análise de comportamento e depuração. O Bluekit subverte esse recurso: tudo o que o navegador do criminoso exibe é enviado, em tempo real, como um “fluxo visual” para o dispositivo da vítima.
Vítima interage com a página legítima – mas no navegador do atacante
O resultado técnico é crítico: a vítima não digita suas credenciais em uma página falsa ou em um proxy que “imita” o site. Ela está, de fato, interagindo diretamente com a página autêntica de login da Microsoft, só que renderizada no navegador do invasor.
Quando o usuário insere usuário, senha, aceita notificações push ou digita códigos de MFA, tudo ocorre dentro dessa sessão remota, já estabelecida na máquina do criminoso. Ao término da autenticação, não é o usuário que ganha acesso à sua conta – é o atacante quem passa a deter a sessão ativa, completamente válida e autenticada.
Essa abordagem também neutraliza mecanismos mais modernos, como as Credenciais de Sessão Vinculadas ao Dispositivo (DBSC), que tentam atrelar a sessão a parâmetros específicos do equipamento do usuário. Como todo o fluxo de login acontece no mesmo navegador do criminoso, de ponta a ponta, não há “transferência de sessão” para outro ambiente, eliminando um importante sinal de detecção usado em ataques AitM baseados em proxy reverso.
Arquitetura do Bluekit: duas fases antes mesmo do roubo de credenciais
Um dos pontos que tornam o Bluekit tão perigoso é a robusta etapa de preparação antes de a vítima sequer ver uma página de phishing. O serviço opera em, pelo menos, duas fases distintas.
Fase 1 – Qualificação e filtragem da vítima
Antes de exibir qualquer tela de login, o Bluekit executa uma bateria de verificações avançadas para identificar se quem acessou a página é um usuário real ou um analista/robô de segurança. Entre as técnicas observadas, destacam-se:
– Uso de filtros CSS manipulados aleatoriamente para burlar mecanismos que analisam páginas por meio de capturas de tela e comparação de “hash de pixels”.
– Implementação de um CAPTCHA próprio, imitando a aparência de marcas conhecidas do mercado, como serviços de proteção de borda, para dar legitimidade adicional.
– Distribuição de enormes pacotes JavaScript ofuscados (superiores a 1 MB), rotacionados regularmente, dificultando engenharia reversa e assinaturas estáticas de detecção.
– Coleta detalhada de impressões digitais do navegador (fingerprinting): quantidade de memória RAM, número de CPUs, resolução de tela, indicadores de execução em ambiente sem interface gráfica, entre outros atributos.
– Verificação de incompatibilidade de IP utilizando WebRTC, o que ajuda a flagrar o uso de proxies, VPNs suspeitas, sistemas automatizados de varredura e ambientes típicos de laboratórios de segurança.
Essa etapa de “triagem” garante que a infraestrutura do Bluekit seja predominantemente usada com alvos humanos de alto valor, reduzindo a exposição do serviço a pesquisadores e a sistemas automatizados de detecção.
Fase 2 – Entrega do ataque BitM em tempo real
Somente após o visitante ser “aprovado” na fase de qualificação o Bluekit entrega o que realmente interessa ao criminoso: uma sessão interativa via navegador intermediário.
Por meio de uma conexão WebSocket, o serviço envia um fluxo vivo do DOM (estrutura da página) do navegador do atacante para o dispositivo da vítima. O usuário vê, então, uma página de login da Microsoft perfeitamente fiel ao original, com precisão de pixels, e totalmente funcional.
Tudo o que a vítima faz – teclas digitadas, movimentos e cliques de mouse, toques na tela – é capturado e retransmitido de volta ao navegador do atacante, que executa as mesmas ações no site legítimo da Microsoft. Desse modo, o criminoso acompanha passo a passo o fluxo de autenticação e, ao final, fica com a sessão ativa em seu próprio ambiente.
Painel de controle: visão total do que a vítima está fazendo
No “back office” do Bluekit, os operadores contam com um painel de administração que oferece visibilidade em tempo real das sessões sequestradas, apoiado pela mesma infraestrutura rrweb usada na entrega do ataque.
Criminosos conseguem assistir ao vivo ao processo de login, incluindo etapas posteriores à autenticação, como:
– Acesso ao e-mail corporativo ou pessoal;
– Entrada em ambientes do Microsoft 365 (SharePoint, OneDrive, Teams);
– Navegação por arquivos e pastas;
– Acesso a recursos administrativos, caso a conta possua privilégios elevados.
Demonstrações desse painel, divulgadas em canais usados por agentes de ameaça, mostram que os invasores podem não apenas capturar credenciais e tokens de sessão, mas também acompanhar ações subsequentes, copiar dados sensíveis e realizar movimentação lateral em tempo real.
Vantagem estrutural: consistência de sessão e evasão de detecção
Em ataques AitM tradicionais baseados em proxy reverso, a sessão autenticada costuma ser “transportada” para outro navegador ou outro ambiente automatizado, o que muitas vezes gera discrepâncias na impressão digital do dispositivo (device fingerprint). Sistemas de segurança podem detectar essa troca repentina de contexto e acionar alertas ou aplicar desafios adicionais de verificação.
O Bluekit elimina esse problema. Como todo o processo – da digitação da senha até a navegação pós-login – ocorre no mesmo navegador controlado pelo criminoso, não existe mudança abrupta de ambiente. A sessão nasce e permanece naquele navegador, mantendo uma consistência de fingerprint que reduz drasticamente os sinais de alerta para soluções de proteção baseadas em comportamento.
Esse diferencial torna o Bluekit particularmente interessante para grupos que buscam acesso persistente a contas protegidas por MFA, sem chamar a atenção de camadas avançadas de detecção de anomalias.
Por que a autenticação multifator não protege contra o Bluekit
Um dos aspectos mais preocupantes dessa plataforma é o fato de que a autenticação multifator tradicional – incluindo códigos SMS, apps autenticadores, tokens físicos básicos e aprovações por notificação push – é ineficaz diante dessa arquitetura.
O motivo é simples: a vítima realmente conclui todo o fluxo de autenticação, inclusive a etapa de MFA, só que dentro do navegador do atacante. Quando o usuário:
– Informa o código enviado por SMS,
– Confirma a notificação em um aplicativo autenticador,
– Ou insere o código gerado por um token tradicional,
está, na prática, validando a sessão do criminoso. Assim que o fator adicional é confirmado, o navegador do atacante recebe uma sessão totalmente autenticada, pronta para ser explorada.
Ou seja, não se trata de “roubar o código de MFA” em si, mas de usar o próprio usuário como “ponte” para completar o processo legítimo de autenticação em um ambiente ilegítimo.
Consequências para organizações e usuários
Para empresas que dependem de contas Microsoft – seja para e-mail, colaboração, armazenamento em nuvem ou administração de identidade – o Bluekit eleva o patamar de risco de forma considerável. Entre os possíveis impactos:
– Comprometimento de caixas de e-mail, facilitando ataques de Business Email Compromise (BEC) e fraudes financeiras;
– Acesso a documentos confidenciais em OneDrive, SharePoint e Teams, expondo segredos comerciais, planos estratégicos e dados pessoais;
– Abuso de contas privilegiadas para criar novos usuários, alterar permissões, registrar novos dispositivos e enfraquecer políticas de segurança;
– Uso de contas comprometidas para espalhar phishing interno, que tende a ter taxas de clique muito maiores por partir de remetentes confiáveis.
Para usuários finais, o risco inclui sequestro de contas pessoais, perda de dados, uso indevido de identidade digital e possível exploração de informações privadas obtidas nas caixas de e-mail e arquivos em nuvem.
Bluekit no contexto do “phishing como serviço” (PhaaS)
O surgimento do Bluekit também reforça uma tendência clara: a industrialização do phishing. Plataformas de PhaaS oferecem:
– Painéis prontos para gerenciar campanhas;
– Templates de páginas de login e e-mails maliciosos;
– Módulos de evasão de detecção constantemente atualizados;
– Suporte, documentação e até “atendimento ao cliente” para criminosos iniciantes.
Esse modelo reduz a barreira de entrada para atacantes menos experientes, que passam a ter acesso a técnicas avançadas, como o BitM, sem precisar desenvolver a infraestrutura do zero. Ao mesmo tempo, grupos mais sofisticados podem incorporar ferramentas como o Bluekit em cadeias de ataque mais amplas, voltadas a espionagem, sabotagem ou extorsão.
Como mitigar o risco: não confie apenas na MFA
Embora o Bluekit explore, sobretudo, o componente humano – fazendo a vítima cooperar sem perceber – há medidas que podem reduzir significativamente a superfície de ataque:
1. Adoção de autenticação resistente a phishing
O uso de padrões como FIDO2/WebAuthn, com chaves de segurança físicas ou biometria atrelada ao domínio legítimo, dificulta ataques em que o usuário autentica “indiretamente” em um ambiente de terceiros. Ainda assim, é fundamental que a experiência de login seja cuidadosamente projetada para não induzir o usuário a fluxos suspeitos.
2. Monitoramento de sessão e análise comportamental
Ferramentas de segurança que observam comportamento de sessão (localização, horário, volume de dados acessados, padrões de navegação) podem detectar atividades anômalas mesmo quando o login em si parece legítimo. Picos de download, acesso súbito a grandes quantidades de arquivos ou tentativas de alteração de configurações críticas devem disparar alertas.
3. Educação de usuários sobre sinais de ataques avançados
Campanhas de conscientização precisam ir além do “não clique em links suspeitos”. É necessário explicar que, mesmo em páginas aparentemente perfeitas, fluxos anômalos – como solicitações de autenticação fora do padrão da organização, janelas extras, redirecionamentos incomuns – devem ser tratados com desconfiança.
4. Segregação de privilégios e menor exposição de contas críticas
Minimizar o número de contas com privilégios administrativos, aplicar o princípio do menor privilégio e segmentar o acesso a dados sensíveis reduz o dano potencial caso uma conta seja comprometida por ferramentas como o Bluekit.
5. Políticas de verificação em ações sensíveis
Mesmo após login bem-sucedido, determinadas operações (por exemplo, mudanças em configurações de segurança, criação de novos administradores ou envio de grandes quantidades de dados para fora da organização) podem exigir validações adicionais, como aprovação de outro administrador ou confirmação por canal independente.
Olhando à frente: uma nova geração de ataques interativos
O Bluekit ilustra como o ecossistema de cibercrime vem abandonando técnicas “brutas” de phishing em favor de métodos altamente interativos, que se integram ao fluxo legítimo do usuário e tiram proveito de tecnologias modernas de captura e reprodução de sessão.
Esse movimento exige que empresas e usuários ajustem sua mentalidade: MFA tradicional segue essencial e deve ser mantida, mas já não pode ser tratada como um “escudo absoluto”. A combinação de autenticação resistente a phishing, monitoramento contínuo, políticas de privilégio mínimo e educação constante é hoje o caminho mais realista para reduzir o impacto de ferramentas como o Bluekit.
No cenário atual, em que credenciais de acesso valem tanto quanto dados em si, serviços de phishing como o Bluekit tendem a ganhar protagonismo. Ignorar essa evolução é abrir espaço para que atacantes operem com ainda mais facilidade em ambientes corporativos e pessoais.
