n nuevo kit de phishing llamado Bluekit
ofrece más de 40 plantillas dirigidas a servicios populares e incluye
funciones básicas de IA para generar borradores de campañas.
Las plantillas disponibles se pueden usar para atacar cuentas de correo
electrónico (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), servicios en la nube
(iCloud), plataformas de desarrollo (GitHub) y servicios de criptomonedas
(Ledger).
Lo que
distingue a este kit es la presencia de un panel de Asistente de IA que
admite múltiples modelos, incluidos Llama, GPT-4.1, Claude, Gemini y DeepSeek, lo que ayuda a los
ciberdelincuentes a redactar correos electrónicos de phishing.
La empresa de ciberseguridad
Varonis analizó una versión limitada del panel de Asistente de IA
de Bluekit y señaló que los resultados generados presentaban contenido de
marcador de posición, lo que sugiere que se trata de una función en una fase
experimental temprana.
«El borrador [generado] incluía una estructura útil, pero aún dependía de
campos de enlace genéricos, bloques QR de marcador de posición y texto que
requería revisión antes de su uso», afirma Varonis. «El Asistente de IA de Bluekit parecía más una herramienta para generar el
esqueleto de una campaña que un flujo de phishing completo».
Esto refuerza la tendencia general de las plataformas de ciberdelincuencia a
integrar la IA para optimizar y escalar sus operaciones. Abnormal Security informó recientemente sobre ATHR, una plataforma de phishing por voz que
utiliza agentes de IA para realizar ataques de ingeniería social.
Además del aspecto de IA, BlueKit integra la compra/registro de dominios, la
configuración de páginas de phishing y la gestión de campañas en un único
panel. Varonis analizó plantillas para iCloud, Apple ID, Gmail, Outlook,
Hotmail, Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara y Ledger, con diseños
y logotipos realistas.
Los operadores pueden seleccionar dominios, plantillas y modos en una interfaz
unificada, configurar el comportamiento de la página de phishing (como
redirecciones, mecanismos anti-análisis y gestión del proceso de inicio de
sesión) y monitorizar las sesiones de las víctimas en tiempo real.
Según las opciones del panel de control, los usuarios tienen un control
preciso sobre el comportamiento de las páginas de phishing y pueden bloquear
el tráfico VPN o proxy, los agentes de usuario sin interfaz gráfica o
configurar filtros basados en huellas digitales.
Los datos robados se extraen a través de Telegram, en canales privados
accesibles para los operadores. La monitorización de la sesión posterior a la
captura incluye cookies, almacenamiento local y estado de la sesión en tiempo
real, mostrando el contenido que se le mostró a la víctima tras iniciar
sesión, lo que ayuda a los operadores a perfeccionar sus ataques para lograr
la máxima eficacia.
Varonis comenta que Bluekit es otro ejemplo de una plataforma de
«phishing todo en uno», que proporciona a los ciberdelincuentes de
menor nivel herramientas completas para gestionar todo el ciclo de vida de un
ataque de phishing.
Sin embargo, el kit parece estar actualmente en desarrollo activo, recibiendo
actualizaciones frecuentes y evolucionando rápidamente, lo que lo convierte en
un buen candidato para una mayor adopción.
Fuente:
BC