La plateforme de phishing Bluekit ne cesse d’évoluer. Près de soixante-dix nouveaux noms d’hôtes ont été identifiés la semaine dernière. Ses auteurs ont aussi ajouté une fonctionnalité de type Browser-in-the-Middle pour perfectionner le vol de données.
Les chercheurs de Varonis ont documenté Bluekit pour la première fois en avril. Ce kit fournit un assistant alimenté par plusieurs modèles de langage étendu, comme Llama, GPT-4.1, Claude, Gemini et DeepSeek, pour rédiger des courriels de hameçonnage.
À l’époque, il proposait à ses « clients » quarante modèles distincts qui ciblaient des services en ligne populaires, notamment Outlook, Hotmail, Gmail, Yahoo, ProtonMail, iCloud, GitHub et Ledger.
Un nouveau rapport de la société de protection contre les risques numériques Netcraft alerte sur un changement de méthode. Bluekit est passé d’une attaque « adversaire au milieu » à un mécanisme BitM. Il utilise pour cela la bibliothèque JavaScript open source ‘rrweb’. Celle-ci sérialise le DOM de la page et le transmet via une connexion WebSocket à la victime.
Dans une attaque BitM, la victime interagit avec une session de navigation que l’attaquant contrôle. Cette session charge la page de connexion légitime et relaie les requêtes et les réponses entre la victime et le service ciblé.
Netcraft précise que rrweb est un projet légitime souvent utilisé pour la relecture de sessions et l’analytique. Sa seule présence dans un environnement web ne doit pas être interprétée comme un indicateur de compromission sans contexte plus large.
Les images, les polices et les feuilles de style sont récupérées par l’infrastructure de phishing, tandis que les saisies de la victime sont renvoyées vers le navigateur de l’attaquant.
Les chercheurs indiquent que rrweb a été choisi pour sa grande fidélité visuelle, son interactivité en temps réel et son efficacité en matière de bande passante.
Cependant, une certaine latence persiste. Tout délai dans la saisie au clavier ou dans un clic de souris sur les pages de connexion doit donc être considéré comme un signal d’alarme.
L’authentification se termine dans le navigateur de l’attaquant. Il obtient ainsi un jeton de session valide et un accès illimité au compte de la victime.
Source : Netcraft
La méthode d’attaque BitM est connue depuis 2022. Le chercheur mr.d0x l’a conçue avant que des acteurs malveillants ne l’adoptent.
Avant de voler les identifiants, Bluekit utilise un système de qualification complet des victimes. Il distingue ainsi les vraies cibles des chercheurs ou des robots d’analyse de sécurité.
Les derniers systèmes anti-analyse de Bluekit incluent plusieurs techniques.
- Des filtres CSS randomisés pour contrer les détections basées sur des captures d’écran.
- Un lot de JavaScript obfusqué de grande taille, qui dépasse un mégaoctet et qui change fréquemment.
- Un CAPTCHA personnalisé qui peut imiter Cloudflare ou la marque de la cible.
- Une empreinte numérique du navigateur. Elle vérifie la mémoire vive, les cœurs du processeur, la résolution de l’écran, la langue, la détection des navigateurs « headless » et la présence d’extensions anti-traçage.
- Une détection d’inadéquation d’adresse IP via WebRTC pour identifier les utilisateurs derrière un proxy ou un VPN.
Netcraft rapporte aussi que le système de surveillance en direct, avec un intervalle de mise à jour de cinq secondes, que Varonis avait précédemment documenté, reste disponible dans Bluekit. Les opérateurs peuvent ainsi surveiller les victimes pendant qu’elles sont piégées dans des sessions de connexion trompeuses. Ils peuvent aussi suivre leurs actions après la connexion.
Le rapport des chercheurs fournit une série d’indicateurs et de signaux liés à Bluekit. Ils ne constituent pas à eux seuls des preuves de compromission.
Cette liste comprend la manipulation des filtres CSS sur les éléments HTML de premier plan avec des valeurs aléatoires, le lot de JavaScript obfusqué qui est régulièrement renouvelé, les vérifications d’empreinte du navigateur, une connexion WebSocket qui envoie des données chiffrées ou binaires sur les pages de connexion, et la détection d’inadéquation d’adresse IP via WebRTC sur la page d’atterrissage.