Вот статистика, от которой можно расплескать остывший кофе: рынок фишинговых наборов раньше представлял собой кошмар киберпреступников «сделай сам». Им приходилось торговаться за страницу входа здесь, за ротатор доменов там, сшивая всё это подобно монстру Франкенштейна из киберпреступности на собственных серверах.
Больше никаких «сделай сам».
Varonis Threat Labs как раз приоткрыли завесу над Bluekit — новым фишинговым набором, который предлагает совершенно не специализированную модель «всё в одном». Мы говорим о более чем 40 шаблонах веб-сайтов, автоматизированной покупке и регистрации доменов, встроенной поддержке двухфакторной аутентификации, спуфинге, уловках с геолокацией, уведомлениях Telegram и браузера, и даже о некоторых хитроумных антибот-функциях. И вишенка на торте? Дополнения вроде ИИ-ассистента и клонирования голоса. Потому что, видимо, просто красть учётные данные стало уже недостаточно драматично.
Эти шаблоны тоже не стесняются. Они охватывают электронную почту и облачные аккаунты (iCloud, Gmail, Outlook — обычные подозреваемые), платформы для разработчиков вроде GitHub (ужас), социальные сети, розничных гигантов и даже криптомир. Ledger, Zara, Twitter — Bluekit нацелен на поглощение их всех.
Кто здесь на самом деле зарабатывает?
Вот тут-то и вступают в игру мои 20 лет наблюдения за тем, как Кремниевая долина творит своё волшебство (а иногда просто дым). Старая модель требовала от злоумышленника определённого уровня технической смекалки. Ему нужно было разбираться в инфраструктуре, базовых сетевых протоколах и в том, как связывать разрозненные сервисы. Это был барьер, пусть и невысокий для некоторых.
Bluekit этот барьер уничтожает. Он разработан для скорости и масштаба, нацелен не только на технически подкованных, но и на любого, кто готов заплатить за готовое оружие. Реальные деньги, как всегда, не обязательно в создании инструмента, а в его широком распространении и эффективности. Если Bluekit прост в использовании и надёжно собирает учётные данные, его создатели будут грести деньги через лицензионные или подписные платежи от гораздо более широкой криминальной базы.
Что Bluekit предлагает в одной панели
Забудьте о громоздком, многовендорном подходе прошлых лет. Varonis заполучили Bluekit и провели глубокое погружение. Эта штука перетягивает пугающе большой объём рабочего процесса фишинга в единую панель. Речь идёт о создании сайтов, настройке доменов, управлении вашими нечестно нажитыми активами (логами), инструментах доставки и поддержке кампаний. Telegram даже встроен как канал по умолчанию для эксфильтрации данных. Это как швейцарский армейский нож для кражи личности.
Панель оператора — это место, где происходит магия (или ужас). Вы можете покупать или подключать домены прямо из того же интерфейса, где управляете своими фишинговыми страницами и собранными логами. Больше не нужно жонглировать несколькими сервисами. Эта оптимизация — огромное дело для эффективности в преступном мире. Процесс создания сайта отражает эту простоту: выбираете домен, выбираете режим, выбираете из головокружительного списка брендов. Проще простого.
И это не ограничивается только запуском страницы. Bluekit предлагает гранулированный контроль над поведением сайта после его запуска. Детектирование входа, уловки с перенаправлением, меры противодействия анализу, фильтры устройств — всё доступно из той же панели конфигурации. Они даже встраивают настройки прокси и проверки того, как обрабатываются сессии после входа. Речь идёт не просто о получении имени пользователя и пароля; это о поддержании контроля и максимально запутанном и разрушительном опыте жертвы после компрометации.
Представление « Mammoth Details » звучит зловеще, и это так. Оно отслеживает состояние сессии, сбрасывает куки и локальное хранилище, и предоставляет живое представление о том, что видит жертва после входа. Этот набор явно обрабатывает больше, чем просто базовый сбор учётных данных. Он строит постоянный, детальный профиль скомпрометированного пользователя.
ИИ-ассистент под капотом
Теперь об этом ИИ. Вот тут-то всё становится особенно… интересно. Внутри Bluekit ИИ-ассистент может похвастаться несколькими вариантами моделей, от «уничтоженного Llama» по умолчанию до GPT-4.1, Claude Sonnet 4, Gemini и вариантов DeepSeek. Мой внутренний детектор лжи уже зашкаливает. Когда Varonis тестировали его, они смогли получить доступ только к стандартной модели Llama. Коммерческие варианты отображались, но требовали дополнительной настройки, которой у них не было. Хм.
Это не просто теоретическая проблема. Если эти коммерческие модели реально используются, это означает, что они доступны через джейлбрейкнутые или иным образом разрешительные экземпляры. Почему? Потому что стандартная, правильно настроенная ИИ-служба, вероятно, заблокировала бы или подвергла цензуре вывод, необходимый для фишинга.
«Мы ожидали чего-то более похожего на отполированного помощника для фишинга: готовый крючок, более чистый текст письма и, возможно, даже рабочий QR-код с меньшими ручными усилиями. То, что мы получили, было гораздо более ограниченным. Ассистент возвращал структурированный черновик кампании, и большая часть его состояла из заполнителей вместо контента, который выглядел готовым к использованию как есть».
Их тестовая кампания была построена вокруг CISO вымышленной компании, приманки для повторной проверки MFA Microsoft 365, с брендированным QR-кодом и отполированным письмом. Вывод ИИ? Он предоставил структурированный черновик, конечно, но он был полон заполнителей и общих полей ссылок. Текст требовал доработки. Это выглядело скорее как скелет кампании, чем завершённая фишинговая операция. Так что ИИ пока не пишет симфонию обмана; это скорее предоставление грубого наброска для оркестра.
Где Bluekit занимает своё место в экосистеме
Bluekit уже давно находится в поле зрения Varonis. Разработчики, похоже, постоянно выпускают новые версии и функции. Этот неустанный итеративный процесс предполагает значительные инвестиции и стремление опередить средства защиты. Это бизнес, хоть и явно незаконный, и они относятся к нему как к бизнесу.
Интеграция ИИ, хотя, возможно, и не такая продвинутая, как первоначально разрекламировали, сигнализирует о чётком направлении для рынка фишинговых наборов. Цель — автоматизация и изощрённость. Снижая технический барьер и предоставляя более продвинутые инструменты, такие наборы, как Bluekit, расширяют возможности более широкого круга злоумышленников для проведения более эффективных и потенциально более разрушительных атак.
Речь идёт не просто об отдельных фишинговых кампаниях. Речь идёт об индустриализации киберпреступности, где сложные инструменты коммодитизируются и становятся доступными. Старый специализированный рынок уступил место универсальному решению, которое обещает эффективность. Это мра It’s a grim reminder, что по мере развития технологий развиваются и инструменты, доступные тем, кто стремится их использовать.
**
🧬 Связанные исследования
- Читайте далее: Роевой интеллект под прицелом: как злоумышленники взламывают крепость Amazon Bedrock с помощью многоагентных систем
- Читайте далее: Глава Meta по безопасности гонится за тем, чтобы OpenClaw не очистил её почтовый ящик
Часто задаваемые вопросы**
Что на самом деле делает Bluekit? Bluekit — это фишинговый набор «всё в одном», который объединяет шаблоны веб-сайтов, регистрацию доменов, поддержку 2FA и ИИ-ассистента в единой платформе для киберпреступников, чтобы запускать фишинговые кампании.
Заменит ли это традиционные фишинговые наборы? Вероятно, это значительно повлияет на рынок, сделав продвинутые фишинговые возможности более доступными, потенциально маргинализируя старые, менее интегрированные наборы.
Является ли ИИ-компонент в Bluekit действительно интеллектуальным? Ранние тесты показывают, что ИИ-ассистент в основном предоставляет структуру кампании и шаблоны с заполнителями, а не полностью отполированный, готовый к использованию контент. Он действует скорее как генератор каркаса, чем как изощрённый инструмент письма.
