Bluekit: Neuer Phishing-Baukasten mit KI-Assistent und über 40 Vorlagen

Zusammenfassung

Unter dem Namen Bluekit ist ein neuer Phishing-Baukasten aufgetaucht, der mehr als 40 Vorlagen für populäre Dienste mitbringt und Cyberkriminellen grundlegende KI-Funktionen zum Erstellen von Kampagnenentwürfen an die Hand gibt. Die verfügbaren Vorlagen zielen unter anderem auf E-Mail-Konten (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), Cloud-Dienste (iCloud), Entwicklerplattformen (GitHub) und Kryptowährungsdienste (Ledger). Das Sicherheitsunternehmen Varonis hat das Werkzeug analysiert und ordnet es in einen breiteren Trend ein: Cyberkriminelle binden zunehmend KI in ihre Plattformen ein, um Angriffe zu beschleunigen und zu skalieren. Besonders auffällig ist bei Bluekit ein KI-Assistenten-Panel, das mehrere Sprachmodelle unterstützt – darunter Llama, GPT-4.1, Claude, Gemini und DeepSeek – und beim Verfassen von Phishing-Mails hilft. Nach Einschätzung von Varonis befindet sich diese Funktion allerdings noch in einem frühen, experimentellen Stadium. Über den KI-Aspekt hinaus bündelt Bluekit Domainkauf und -registrierung, die Einrichtung von Phishing-Seiten sowie das Kampagnenmanagement in einer einzigen Oberfläche und reiht sich damit in die Reihe der „All-in-One"-Phishing-Plattformen ein.

Bluekit bringt nach Angaben von Varonis Vorlagen für eine breite Palette bekannter Dienste mit. Untersucht wurden unter anderem Designs für iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara und Ledger – jeweils mit realistischen Layouts und Logos.

Das herausstechende Merkmal ist das KI-Assistenten-Panel, das beim Verfassen von Phishing-Mails unterstützt und mehrere Modelle einbinden kann, darunter Llama, GPT-4.1, Claude, Gemini und DeepSeek. Varonis hat eine eingeschränkte Version dieses Panels analysiert und stellt fest, dass die erzeugten Ausgaben Platzhalterinhalte enthielten – ein Hinweis darauf, dass die Funktion noch experimentell ist.

„Der erzeugte Entwurf hatte zwar eine brauchbare Struktur, stützte sich aber weiterhin auf generische Link-Felder, Platzhalter-QR-Blöcke und Texte, die vor dem Einsatz noch überarbeitet werden müssten", so Varonis. Der KI-Assistent wirke eher wie ein Mittel, um ein Kampagnengerüst zu erzeugen, als wie ein fertiger Phishing-Ablauf.

Abseits der KI verbindet Bluekit Domainkauf und -registrierung, die Einrichtung der Phishing-Seite und das Kampagnenmanagement in einem einzigen Panel. Über eine einheitliche Oberfläche wählen die Betreiber Domains, Vorlagen und Modi aus, konfigurieren das Verhalten der Phishing-Seite – etwa Weiterleitungen, Mechanismen gegen Analyse und die Steuerung des Anmeldevorgangs – und überwachen Opfer-Sitzungen in Echtzeit.

Über das Dashboard lässt sich das Verhalten der Phishing-Seiten fein steuern: Betreiber können VPN- oder Proxy-Verkehr sowie Headless-Browser blockieren oder Filter auf Basis von Fingerprinting setzen. Erbeutete Daten werden über private Telegram-Kanäle abgezogen, auf die nur die Betreiber Zugriff haben. Die Sitzungsüberwachung nach dem Abgreifen umfasst Cookies, lokalen Speicher und den aktuellen Sitzungszustand und zeigt, was dem Opfer nach der Anmeldung ausgeliefert wurde – Informationen, mit denen die Betreiber ihre Angriffe verfeinern können.

Varonis wertet Bluekit als ein weiteres Beispiel für eine „All-in-One"-Phishing-Plattform, die auch weniger versierten Kriminellen vollwertige Werkzeuge für den gesamten Lebenszyklus eines Phishing-Angriffs an die Hand gibt. Das Werkzeug befinde sich derzeit in aktiver Entwicklung, erhalte häufige Updates und entwickle sich schnell weiter, was es zu einem Kandidaten für wachsende Verbreitung mache.

Bluekit ist nicht der einzige derartige Fall: Abnormal Security berichtete jüngst über ATHR, eine Voice-Phishing-Plattform, die KI-Agenten für Social-Engineering-Angriffe einsetzt.

Bluekit: Neuer Phishing-Baukasten mit KI-Assistent und über 40 Vorlagen

Ähnliche Artikel

Neueste Artikel